Google-Forscher schlagen Ausweg aus dem SSL-Dilemma vor
Öffentlich einsehbare Listen sollen das Vertrauen in die Public-Key-Infrastruktur (PKI) hinter HTTPS stärken und vor GAUs wie im Fall der kompromittierten Zertifizierungsstelle DigiNotar schützen.
- Ronald Eikenberg
Die Google-Forscher Adam Langley und Ben Laurie schlagen in ihrem Paper Certificate Authority Transparency and Auditability neue Maßnahmen vor, um die Public-Key-Infrastruktur (PKI) hinter HTTPS vertrauenswürdiger zu machen. Die Idee der Forscher beruht auf öffentlich einsehbaren Listen, in denen alle jemals ausgestellten Zertifikate der Zertifizierungsstellen aufgeführt sind.
Das aktuell genutzte Konzept für sichere Webseiten hat zwei Probleme: Wenn sich ein Angreifer etwa durch einen Einbruch bei einer der weit über 100 Zertifizierungsstellen ein Zertifikat für einen Server wie eBay.com besorgt, haben Endanwender keine Chance, diesen Betrug zu bemerken. Auf der anderen Seite kann auch eine Firma wie eBay nicht feststellen, ob unter Umständen eine CA in China unberechtigter Weise ein Zertifikat für ihre Server ausgestellt hat.
Beide Probleme seien nach Meinung der Forscher mit einer öffentlichen Liste in den Griff zu bekommen. Die Browser sollen künftig beim Aufruf einer HTTPS-Seite prüfen, ob sich das vom Server ausgelieferte Zertifikat tatsächlich auf einer solchen Liste befindet. Ist das nicht der Fall, stuft der Web-Browser das Zertifikat als nicht vertrauenswürdig ein. Außerdem können Firmen die Listen aktiv überwachen, um missbräuchlich ausgestellte Zertifikate zu entdecken. Kriminelle, die an falsche Zertifikate gelangt sind, hätten dadurch keine Chance mehr, diese einzusetzen. Um die Integrität der Listen zu gewährleisten, sollen sogenannte Merkle-Signaturbäume zum Einsatz kommen.
Ob und wann die Vorschläge in die Tat umgesetzt werden, ist bislang noch völlig offen. Einen alternativen Ansatz verfolgt Sicherheitsexperte Moxie Marlinspike mit seiner Firefox-Erweiterung Convergence. (rei)