Google verstärkt Zertifikats-Sicherheit in Chrome

Google will im kommenden Jahr Chrome-Nutzer vor Zertifikaten mit zu kurzen Schlüssellängen warnen. Außerdem will die Firma die Sicherheit von Extended-Validation-Zertifikaten erhöhen.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Google-Entwickler Ryan Sleevi hat angekündigt, dass Google mit dem Beginn des neuen Jahres für seinen Chrome-Browser die Sicherheits-Schraube bei SSL-Zertifikaten anziehen will. So sollen, übereinstimmend mit den Richtlinien des CA/Browser Forums, alle Zertifikate mit einem RSA-Schlüssel, der 2048 Bit unterschreitet, eine Warnmeldung auslösen. Außerdem will man die Sicherheit von Verbindungen, die Extended-Validation-Zertifikate verwenden, weiter erhöhen.

Laut den Zertifikats-Richtlinien des CA/Browser Forums, welche die Sicherheit der SSL/TLS-Infrastruktur erhöhen sollen, sollten CAs nach dem 31. Dezember 2013 keine Zertifikate mehr vergeben, deren Schlüssel kürzer als 2048 Bit sind. Google will deswegen Nutzer in Chrome vor Zertifikats-Ketten warnen, die solche Zertifikate mit zu kurzen Schlüsseln enthalten. Ausgenommen bleiben vorerst Root-Zertifikate. Google warnt aber, dass dieselben Regeln früher oder später auch für diese gelten sollen. Die Firma erwartet, dass mit dem Inkrafttreten dieser Regeln nur eine geringe Anzahl an Seiten im weltweiten Netz Fehlermeldungen auslösen sollten. Schätzungen zufolge seien dies weniger als 0,1% aller HTTPS-Seiten.

Für Extended-Validation-Zertifikate schlägt Google vor, sein Certificate-Transparency-Modell in Chrome einzuführen. Dabei werden Zertifikats-Ausstellungen global in kryptografisch geschützte Logs eingetragen und können so vom Browser analysiert werden. Das soll verhindern, dass wie bei DigiNotar, gekaperte oder schlampig arbeitende CAs Zertifikate ausstellen, die von Angreifern dann für Umtriebe genutzt werden können, ohne das Nutzer von ihrem Browser gewarnt werden.

Google sammelt momentan Stimmen und Einschätzungen zu diesem Plan im Kreise des CA/Browser Forums und will diesen dann zu einem späteren Zeitpunkt umsetzen. Die Firma kündigt ebenfalls an, dass dieses Modell bei Erfolg eventuell auch auf herkömmliche SSL-Zertifikate angewendet werden soll. Falls ein Zertifikat die Bestimmungen der Certificate Transparency nicht erfüllt, oder der Browser sich einige Zeit nicht mit den Log-Servern abgleichen konnte, verliert die entsprechende Seite das Extended-Validation-Logo im Browser. (fab)