Google will Online-Zertifikats-Check abschaffen

Weil sie ohnehin nicht richtig funktionieren will Google die Online-Checks auf Gültigkeit von SSL-Zertifikaten in Chrome demnächst abschalten.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 2 Min.

Der Internetkonzern Google will in seinem Browser Chrome die Online-Checks auf Gültigkeit von SSL-Zertifikaten demnächst abschalten. Das geht aus einem Blogbeitrag des zuständigen Entwicklers Adam Langley hervor. Als Ersatz soll der Browser über den Update-Mechanismus Listen mit widerrufenen Zertifikaten erhalten.

Browser prüfen beim Aufbau einer Verbindung, ob das vom Server präsentierte Zertifikat vom Herausgeber eventuell bereits gesperrt wurde. Dies geschieht entweder über die Certificate Revocation Lists (CRLs) des Herausgebers oder direkt interaktiv über das Online Certificate Status Protocol (OCSP). Zuverlässig funktioniert hat das alles jedoch noch nie so richtig, weil die Browser im Zweifelsfall – also etwa wenn auf eine OCSP-Anfrage nicht funktioniert – ein Auge zudrücken. Das müssen sie schon deshalb, weil es sonst zu viele Fehlalarme gäbe.

Andererseits kann ein Angreifer, der SSL-Verbindungen manipuliert, in aller Regel auch OCSP-Anfragen unterbinden; Tools wie sslsniff demonstrieren das sehr anschaulich. So sahen sich alle Browser-Hersteller gezwungen, als wegen des Einbruchs bei Comodo-Resellern Zertifikatssperrungen erforderlich wurden, diese durch Updates in ihre Browser zu schieben.

Weil OCSP-Anfragen auch schon im Normalbetrieb ganz erheblich zur Ladezeit von SSL-Seiten beitragen, zieht Google jetzt die Konsequenzen daraus und will aus der Not eine Tugend machen. Zukünftig sollen die Online-Checks abgeschaltet und durch Listen ersetzt werden, die Google via Update aktualisiert. Dazu ruft Langley die Zertifiikatsherausgeber dazu auf, vorab passende Listen bereitzustellen. Ob und wie weit diese Umstellung auch die Extended Validation Zertifikate betreffen wird, ist derzeit noch unklar. (ju)