Abo
  • Services:
Anzeige
Mozilla plant eine zentrale Sperrliste für Zertifikate im Firefox-Browser.
Mozilla plant eine zentrale Sperrliste für Zertifikate im Firefox-Browser. (Bild: Mozilla)

Revocation: Zentrale Zertifikatssperrlisten von Mozilla geplant

Um Nutzer künftig vor falschen oder entwendeten Zertifikaten zu schützen, will Mozilla eine zentrale Sperrliste pflegen. Damit folgen die Firefox-Macher den Ideen Googles für Chrome.

Anzeige

In einem vorläufigen Entwurf erklären die Mozilla-Entwickler, künftig eine zentrale Sperrliste für Zertifikate pflegen zu wollen. Diese soll OneCRL heißen und sei "konzeptuell ähnlich zu Chromes CRLsets", wie Entwickler Richard Barnes in der Diskussion zu den Plänen schreibt. Ziel müsse es sein, dass die Verwendung zurückgezogener Zertifikate nie zu einem Verbindungsaufbau führt, also zu einem sogenannten Hard-Fail. Zudem sollte es immer möglich sein herauszufinden, ob ein Zertifikat zurückgezogen wurde.

Das dazu bisher verwendete OCSP (Online Certificate Status Protocol) hat aber diverse Nachteile. Neben der teils viel zu langen Dauer für das Abfragen der Gültigkeit von Zertifikaten, ergeben sich auch Schwierigkeiten für den Datenschutz. Bei strenger Anwendung verursacht das Protokoll viele Probleme, weshalb es oft auf unsichere Weise in den Browsern implementiert ist. In Googles Chrome wird deshalb OCSP auch nicht mehr verwendet.

Um trotzdem die notwendige Sicherheit zu gewährleisten, verwendet Chrome eine CRL (Certificate Revocation List), also eine Sperrliste für nicht vertrauenswürdige Zertifikate. Eine solche Liste möchte Mozilla mit OneCRL nun ebenfalls aufbauen und pflegen. Wie lange dies dauern wird, ist derzeit aber noch nicht absehbar.

Die Informationen der OneCRL sollen zentral vorgehalten und "in regelmäßigen Abständen an Firefox-Instanzen ausgeliefert" werden. Für CA-Zertifikate soll dann ausschließlich OneCRL maßgeblich sein. Für End-Entities (EE), soll neben der Liste aber auch OCSP-Stapling verwendet werden. Lässt sich die Gültigkeit nicht sicher überprüfen, soll dann aber ein Hard-Fail erzwungen werden.


eye home zur Startseite
Ass Bestos 08. Aug 2014

nein, denn stell dir mal vor ms sperrt ein zertifikat von einem mitbewerbe und sagt dann...

MarioWario 07. Aug 2014

Blockieren ist eher die Lösung wenn Zertifikate nicht verifiziert werden können (aber das...



Anzeige

Stellenmarkt
  1. A. Raymond GmbH & Co. KG, Lörrach
  2. NÜRNBERGER Versicherungsgruppe, Nürnberg
  3. RAIR Bürotechnik GmbH, Chemnitz
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Spiele-Angebote
  1. (-56%) 21,99€
  2. 16,00€
  3. 19,99€

Folgen Sie uns
       


  1. CPU-Bugs

    Errata sind menschlich, Updates besser

  2. Bilanz des NSA-Ausschusses

    Viel AUA, wenig NSA

  3. Strenge Sicherheitsmaßnahmen

    Notebooks bleiben auf Flügen aus Europa in die USA erlaubt

  4. Tastatur und Maus

    Apple verzichtet auf das Kabel

  5. Eingabegerät

    Nums verwandelt Macbook-Trackpad in Ziffernblock

  6. MWC Shanghai

    LTE-Technologie erreicht Latenz von unter zwei Millisekunden

  7. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  8. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  9. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  10. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Anki Cozmo ausprobiert: Niedlicher Programmieren lernen und spielen
Anki Cozmo ausprobiert
Niedlicher Programmieren lernen und spielen

Google Wifi im Test: Google mischt mit im Mesh
Google Wifi im Test
Google mischt mit im Mesh
  1. Prozessor Intels Skylake-X kommt zu früh
  2. Skylake-SP Intels Xeon nutzen ein Mesh statt Ringbusse
  3. Headset G433 im Hands on Logitech hat ein Headset genäht

  1. Re: Wasserdicht? Und Infrarot Sensor oder Sender?

    mannzi | 09:09

  2. Re: Hier ebenfalls! Weiter so!

    sodom1234 | 09:08

  3. Warum werden die immer wieder gewählt..?

    deutscher_michel | 09:08

  4. Re: EMail sperren ist der richtige Weg

    Fenster | 09:07

  5. Re: Kaum Alternativen bei macOS Tastaturen

    lejared | 09:06


  1. 09:11

  2. 09:01

  3. 08:33

  4. 08:17

  5. 07:37

  6. 18:23

  7. 17:10

  8. 16:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel