Certificate Transparency: Google setzt Symantec die Pistole auf die Brust

Symantec hatte zu Testzwecken Zertifikate auf fremde Domains ausgestellt. Als Reaktion will Google nun Symantec (beziehungsweise Verisign) dazu zwingen, Googles Sicherheitstechnik Certificate Transparency zu unterstützen.

In Pocket speichern vorlesen Druckansicht 41 Kommentare lesen
SSL-Zertifikate: Google setzt Symantec die Pistole auf die Brust
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Google macht Ernst: Die Firma will Symantec ab Mitte nächsten Jahres zwingen, ihr Certificate-Transparency-Modell zu unterstützen. Setze Symantec die Vorgaben nicht um, wolle man Chrome- und Android-Nutzern beim Antreffen von Symantec-Zertifikaten Fehlermeldungen anzeigen oder diese eventuell überhaupt nicht mehr akzeptieren. Diese offene Drohung wird vor allem Zertifikate betreffen, die von Verisign ausgestellt wurden. Symantec hatte 2010 die Zertifikats-Sparte von Verisign aufgekauft.

Den Stein ins Rollen brachten Zertifikate, die Symantec auf die Google-Domain ausgestellt hatte – um intern Tests durchzuführen, wie man betonte. Google hatte das entdeckt und Symantec darauf hingewiesen, die dann eine Untersuchung durchgeführt hatten. Jetzt hat Google allerdings entdeckt, dass Symantec (beziehungsweise Verisign) viel mehr Zertifikate für die Domains anderer Firmen ausgestellt hatte, als zuerst gedacht. Google nimmt das nun zum Anlass, Symantec zur Verwendung von Certificate Transparency zu zwingen.

Certificate Transparency ist ein von Google-initiiertes Projekt, das von dem Konzern momentan aktiv vorangetrieben wird. Es soll sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden.

Das ist ein inherentes Problem der SSL/TLS-Infrastruktur, da jede CA der ein Browser vertraut, Zertifikate für eine beliebige Domain ausstellen kann. So konnte Symantec ein gültiges Zertifikat für google.com ausstellen, obwohl es für diese Domain bereits ein legitimes Zertifikat von Googles eigener CA gibt. Browser hätten das Symantec-Zertifikat trotzdem anerkannt, da sie in der Regel nur prüfen, ob sie der ausstellenden CA vertrauen, nicht ob diese überhaupt Zertifikate für die Domain ausstellen darf.

Wenn es nach Googles Wünschen geht, sollen nun alle CAs alle Zertifikate, die sie ausstellen, in ein kryptografisch abgesichertes Log eintragen. Aus diesem Log kann man im Nachhinein nichts mehr entfernen, sondern nur Einträge hinzufügen. Wenn Firmen nun, wie Google es tut, diese Logs nach Zertifikaten für eigene Domains absuchen, fliegen solche missbräuchlich ausgestellten Zertifikate auf. Dies verhindert allerdings nicht, dass Browser diesen Zertifikaten weiterhin vertrauen. Ein Ansatz, der in diese Richtung geht, ist Certificate Pinning – ausführlich erklärt im Artikel "Festgenagelte Zertifikate" aus c't 23/15.

Googles Chrome-Browser erzwingt Certificate Transparency bereits bei allen Extended-Validation-Zertifikaten, die nach dem 1. Januar 2015 ausgestellt wurden. Nun sieht es so aus, als will Google das Fehlverhalten von Symantec dazu nutzen, auch bei herkömmlichen Zertifikaten einen weiteren Schritt in diese Richtung zu gehen. (fab)