Static-CT verbessert Zertifikatsprotokolle

Certificate Transparency (CT) ist ein globales System aus Logs für alle Zertifikate, mit denen Webdienste ihre Verbindungen absichern. Das System, das viel zur Sicherheit von HTTPS & Co. beiträgt, baut unter anderem darauf auf, dass es diverse, voneinander unabhängige dieser Logs gibt. Ein CT-Log zu betreiben, stellt allerdings einen erheblichen Ressourcenaufwand dar, schließlich muss man Hunderte Millionen Zertifikate in einer Baumstruktur protokollieren und auf Anfrage kryptografische Beweise zum Inhalt und der Korrektheit des Logs generieren.

Eine neues, Static-CT genanntes API verringert diesen Aufwand deutlich, indem es die Baumstruktur in Kacheln ("Tiles") unterteilt. Clients stellen keine dynamischen Anfragen an den Log-Server mehr, sondern laden die für eine Prüfung nötigen Kacheln herunter und generieren die gewünschten kryptografischen Beweise selbst. Weil die Kacheln fast alle statisch sind (lediglich am Rand, wo der Baum wächst, gibt es partiell gefüllte Kacheln, die sich ändern), lassen sich diese Anfragen sehr gut cachen und Log-Betreiber können die Kacheln einfach und billig als simple Dateien speichern.

Mehr zum Zertifikatssystem

• Static-CT verbessert Zertifikatsprotokolle
• Let's Encrypt: Nachrichten zu abgelaufenen Zertifikaten eingestellt
• Beschlossen: Lebensdauer für TLS-Serverzertifikate sinkt auf 47 Tage
• Zeitplan veröffentlicht: Let's Encrypt schafft OCSP-Zertifikatsüberprüfung ab
• Wie "Certificate Transparency" Zertifikate im Web absichert
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 3
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 2
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 1
• Sicherheit: Wo sich überall Stammzertifikate verstecken
• Security: Wie Zertifikate im Web funktionieren – und wie nicht

Static-CT ist aus dem Projekt Sunlight hervorgegangen, einer neuen CT-Log-Implementierung von Filippo Valsorda, die neben der unterteilten Baumstruktur noch weitere Performanceverbesserungen mit sich bringt. Finanziert wurde das Projekt von der weltgrößten Zertifizierungsstelle Let’s Encrypt. Sie nutzt Sunlight auch für ihre eigenen Static-CT-Logs und überführt diese nach einer etwa ein Jahr dauernden Testphase allmählich in den produktiven Gebrauch. Daneben gibt es inzwischen weitere Static-CT-Implementierungen, unter anderem von Cloudflare und Google. Auch erste Browser wie Chrome und Safari erkennen Static-CT-Logs als Protokollanten an. Einstweilen aber nur, solange Zertifikate auch noch in mindestens einem anderen, klassischen CT-Log nach RFC 6962 protokolliert wurden – sie müssen ohnehin in mindestens zwei verschiedenen Logs vermerkt werden.

Static-CT scheint damit ein wesentlich größerer Erfolg beschieden zu sein als RFC 9162 mit dem Titel "Certificate Transparency Version 2.0". Im Dezember 2021 löste dieser Standard technisch gesehen RFC 6962 ab, er wurde praktisch jedoch nicht umgesetzt. Zu zäh verlief seine Entwicklung und zu gering waren die Verbesserungen, die er gegenüber dem alten Standard brachte. Static-CT ist dagegen nicht als RFC der Internet Engineering Task Force spezifiziert. Daran gibt es auch Kritik aus der CT-Community, aber die rasche Entwicklung und vergleichsweise schnelle Verbreitung der neuen CT-Logs scheint die Befürworter dieses Vorgehens zu bestätigen.

(syt)