Abo
  • IT-Karriere:

Revocation: Zentrale Zertifikatssperrlisten von Mozilla geplant

Um Nutzer künftig vor falschen oder entwendeten Zertifikaten zu schützen, will Mozilla eine zentrale Sperrliste pflegen. Damit folgen die Firefox-Macher den Ideen Googles für Chrome.

Artikel veröffentlicht am ,
Mozilla plant eine zentrale Sperrliste für Zertifikate im Firefox-Browser.
Mozilla plant eine zentrale Sperrliste für Zertifikate im Firefox-Browser. (Bild: Mozilla)

In einem vorläufigen Entwurf erklären die Mozilla-Entwickler, künftig eine zentrale Sperrliste für Zertifikate pflegen zu wollen. Diese soll OneCRL heißen und sei "konzeptuell ähnlich zu Chromes CRLsets", wie Entwickler Richard Barnes in der Diskussion zu den Plänen schreibt. Ziel müsse es sein, dass die Verwendung zurückgezogener Zertifikate nie zu einem Verbindungsaufbau führt, also zu einem sogenannten Hard-Fail. Zudem sollte es immer möglich sein herauszufinden, ob ein Zertifikat zurückgezogen wurde.

Stellenmarkt
  1. CHECK24 Services GmbH, München
  2. Rail Power Systems GmbH, München

Das dazu bisher verwendete OCSP (Online Certificate Status Protocol) hat aber diverse Nachteile. Neben der teils viel zu langen Dauer für das Abfragen der Gültigkeit von Zertifikaten, ergeben sich auch Schwierigkeiten für den Datenschutz. Bei strenger Anwendung verursacht das Protokoll viele Probleme, weshalb es oft auf unsichere Weise in den Browsern implementiert ist. In Googles Chrome wird deshalb OCSP auch nicht mehr verwendet.

Um trotzdem die notwendige Sicherheit zu gewährleisten, verwendet Chrome eine CRL (Certificate Revocation List), also eine Sperrliste für nicht vertrauenswürdige Zertifikate. Eine solche Liste möchte Mozilla mit OneCRL nun ebenfalls aufbauen und pflegen. Wie lange dies dauern wird, ist derzeit aber noch nicht absehbar.

Die Informationen der OneCRL sollen zentral vorgehalten und "in regelmäßigen Abständen an Firefox-Instanzen ausgeliefert" werden. Für CA-Zertifikate soll dann ausschließlich OneCRL maßgeblich sein. Für End-Entities (EE), soll neben der Liste aber auch OCSP-Stapling verwendet werden. Lässt sich die Gültigkeit nicht sicher überprüfen, soll dann aber ein Hard-Fail erzwungen werden.



Anzeige
Top-Angebote
  1. (aktuell u. a. CPU-Kühler)
  2. mit Gutschein: NBBCORSAIRPSP19
  3. (heute u. a. Saugroboter)
  4. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...

Ass Bestos 08. Aug 2014

nein, denn stell dir mal vor ms sperrt ein zertifikat von einem mitbewerbe und sagt dann...

MarioWario 07. Aug 2014

Blockieren ist eher die Lösung wenn Zertifikate nicht verifiziert werden können (aber das...


Folgen Sie uns
       


Die Commodore-264er-Reihe angesehen

Unschlagbar günstig, unfassbar wenig RAM - der C16 konnte in vielen Belangen nicht mit dem populären C64 mithalten.

Die Commodore-264er-Reihe angesehen Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


      •  /