Certificate Transparency
Certificate Transparency (CT) ist ein Prozess, der die Prüfung ausgestellter digitaler Zertifikate für verschlüsselte Internetverbindungen ermöglichen soll. Der Standard sieht die Protokollierung aller durch eine Zertifizierungsstelle (Certificate Authority) ausgestellter digitaler Zertifikate in einem revisionssicheren Logbuch vor. Dieses soll die Erkennung irrtümlicher oder böswillig ausgestellter Zertifikate für eine Domain ermöglichen. Im Juni 2013 wurde er als experimenteller RFC 6962 von der IETF angenommen. Der Standard wird maßgeblich von Google vorangetrieben.
Im September 2011 wurde bekannt, dass es Hackern gelungen war, in die Systeme der Zertifizierungsstelle DigiNotar einzudringen und sich für mehr als 500 Domains gefälschte Zertifikate auszustellen. Diese wurden in der Folge unter anderem zur Überwachung iranischer Bürger genutzt.[1] Als Reaktion begann Google nach eigener Darstellung mit der Entwicklung von Certificate Transparency.[2] Im März 2013 startete das Unternehmen den ersten Certificate Transparency Log,[3] wenig später führte mit DigiCert die erste Zertifizierungsstelle das Verfahren ein.[2] Seit Januar 2015 akzeptiert der von Google entwickelte Webbrowser Chrome neu ausgestellte Extended-Validation-Zertifikate nur noch, wenn ihre Ausstellung per Certificate Transparency protokolliert wurde.[4] Im Juni 2016 zwang das Unternehmen die Zertifizierungsstelle Symantec an dem Prozess teilzunehmen, ansonsten würde Chrome vor Zertifikaten Symantecs warnen.[5] Zuvor hatte Google festgestellt, dass Symantec falsche Zertifikate für Domains des Unternehmens ausgestellt hatte.[6]
Seit 30. April 2018 zeigt Chrome eine Warnung bei Zertifikaten an, deren Ausstellung nicht protokolliert wurde. Dies gilt allerdings nur, wenn das Zertifikat nach dem 30. April 2018 ausgestellt wurde. Zertifikate, die vor dem Stichtag ausgestellt wurden, werden derzeit nicht berücksichtigt.[7][8] Auch Apple erfordert die Protokollierung ausgestellter Zertifikate via CT.[9] Firefox erfordert und prüft CT nicht.[10] Auf der Website no-sct.badssl.com kann getestet werden ob der eigene Browser CT prüft. Ist dies der Fall zeigt der Browser eine Fehlermeldung an (z. B. bei Chrome "NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"). Ist dies nicht der Fall wird stattdessen eine rote Seite angezeigt. Auch Microsoft Edge prüft CT (siehe Testseite).
Weblinks
- Offizielle Website
- Shedding Light on Certificates: The Web PKI and Certificate Transparency – Übersichtsartikel (englisch)
Einzelnachweise
- ↑ heise Security: Protokoll eines Verbrechens: DigiNotar-Einbruch weitgehend aufgeklärt. Abgerufen am 26. April 2017.
- ↑ a b Certificate Transparency (CT) Status | DigiCert.com. Abgerufen am 26. April 2017 (englisch).
- ↑ Known Logs - Certificate Transparency. Abgerufen am 26. April 2017.
- ↑ heise Security: Certificate Transparency: Google setzt Symantec die Pistole auf die Brust. Abgerufen am 26. April 2017.
- ↑ heise Security: TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an. Abgerufen am 26. April 2017.
- ↑ heise Security: Symantec hantiert mit falschem Google-Zertifikat. Abgerufen am 26. April 2017.
- ↑ Devon O'Brien: Certificate Transparency Enforcement in Chrome and CT Day in London. Abgerufen am 2. Mai 2018.
- ↑ heise Security: Chrome: Google macht Ernst mit Certificate Transparency. Abgerufen am 2. Mai 2018.
- ↑ Apple Inc: Apple's Certificate Transparency policy. Abgerufen am 22. Februar 2022.
- ↑ MDN contributors: Certificate Transparency (MDN Web Docs). Abgerufen am 22. Februar 2022.