Original-URL des Artikels: https://www.golem.de/news/revocation-zentrale-zertifikatssperrlisten-von-mozilla-geplant-1408-108379.html    Veröffentlicht: 06.08.2014 12:30    Kurz-URL: https://glm.io/108379

Revocation

Zentrale Zertifikatssperrlisten von Mozilla geplant

Um Nutzer künftig vor falschen oder entwendeten Zertifikaten zu schützen, will Mozilla eine zentrale Sperrliste pflegen. Damit folgen die Firefox-Macher den Ideen Googles für Chrome.

In einem vorläufigen Entwurf erklären die Mozilla-Entwickler, künftig eine zentrale Sperrliste für Zertifikate pflegen zu wollen. Diese soll OneCRL heißen und sei "konzeptuell ähnlich zu Chromes CRLsets", wie Entwickler Richard Barnes in der Diskussion zu den Plänen schreibt. Ziel müsse es sein, dass die Verwendung zurückgezogener Zertifikate nie zu einem Verbindungsaufbau führt, also zu einem sogenannten Hard-Fail. Zudem sollte es immer möglich sein herauszufinden, ob ein Zertifikat zurückgezogen wurde.

Das dazu bisher verwendete OCSP (Online Certificate Status Protocol) hat aber diverse Nachteile. Neben der teils viel zu langen Dauer für das Abfragen der Gültigkeit von Zertifikaten, ergeben sich auch Schwierigkeiten für den Datenschutz. Bei strenger Anwendung verursacht das Protokoll viele Probleme, weshalb es oft auf unsichere Weise in den Browsern implementiert ist. In Googles Chrome wird deshalb OCSP auch nicht mehr verwendet.

Um trotzdem die notwendige Sicherheit zu gewährleisten, verwendet Chrome eine CRL (Certificate Revocation List), also eine Sperrliste für nicht vertrauenswürdige Zertifikate. Eine solche Liste möchte Mozilla mit OneCRL nun ebenfalls aufbauen und pflegen. Wie lange dies dauern wird, ist derzeit aber noch nicht absehbar.

Die Informationen der OneCRL sollen zentral vorgehalten und "in regelmäßigen Abständen an Firefox-Instanzen ausgeliefert" werden. Für CA-Zertifikate soll dann ausschließlich OneCRL maßgeblich sein. Für End-Entities (EE), soll neben der Liste aber auch OCSP-Stapling verwendet werden. Lässt sich die Gültigkeit nicht sicher überprüfen, soll dann aber ein Hard-Fail erzwungen werden.  (sg)


Verwandte Artikel:
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )
Mozilla: Firefox soll mit Werbung in Pocket experimentieren   
(29.01.2018, https://glm.io/132450 )
HTTPS: Private Schlüssel auf dem Webserver   
(12.07.2017, https://glm.io/128860 )
Nach Heartbleed: Neues Zertifikat, alter Key   
(11.05.2014, https://glm.io/106384 )
Revocation: Zurückziehen von Zertifikaten bringt wenig   
(14.04.2014, https://glm.io/105849 )

© 1997–2019 Golem.de, https://www.golem.de/