Google: Certificate Transparency wird Pflicht
Google trommelt seit Jahren für mehr Transparenz bei den Certificate Authorities. Jetzt wollen die Macher des Chrome-Browsers CAs mit Gewalt auf die Praxis der Certificate Transparency verpflichten.
- Fabian A. Scherschel
Google hat angekündigt, binnen eines Jahres Zertifizierungsstellen (CAs) auf Certificate Transparency zu verpflichten. Laut dem Plan, den Google-Entwickler Ryan Sleevi vorgestellt hat, soll Chrome Zertifikate, die ab Oktober 2017 ausgestellt werden und für die keine Certificate-Transparency-Logs vorliegen, als nicht mehr vertrauenswürdig einstufen. Bis dahin will Google mit dem CA/Browser Forum und allen interessierten CAs zusammenarbeiten, um Probleme beim Übergang zu den neuen Regeln aus dem Weg zu räumen.
Transparenz ist alles
Certificate Transparency, bei der IETF als RFC 6962 geführt, ist ein Prozess, der öffentliche, kryptografisch gesicherte Logs und Monitoring-Software vereint, um regelwidrig ausgestellte SSL-Zertifikate aufzuspüren und zu blockieren. Das soll sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden. In den Logs verewigen die CAs alle ihre Zertifizierungsaktivitäten so, dass sich diese öffentlichen Aufzeichnungen im Nachhinein nicht mehr ändern lassen.
Vorkommnisse, wie etwa die von Symantec als Test ausgestellten Google-Zertifikate oder die fatalen Fehler bei Türktrust sollten dann sofort Alarm auslösen. Und vor allem vorsätzlicher Missbrauch durch Dritte, wie im Fall Diginotar, soll verhindert werden.
Erschlichene Zertifikate
Tauchen zum Beispiel Zertifikate für die Google-Domain auf, die gültig sind, weil sie von einer vertrauenswürdigen CA korrekt unterschrieben wurden, aber bei den CAs nicht ordnungsgemäß in Certificate-Transparency-Logs geführt werden, würde Chrome diese ab Oktober 2017 nicht anerkennen. Damit will Google seine Nutzer vor Phishing- und Spionage-Angriffen schützen, bei denen sich die Angreifer legitime Zertifikate erschlichen haben.
Momentan kann ein Angreifer mit einem erschlichenen Zertifikat für eine Domain dem Opfer vorgaukeln, es bestehe eine SSL/TLS-gesicherte Verbindung zu dieser Domain – falls er es schafft, den Traffic des Opfers abzufangen und auf seinen Server umzuleiten. Für solche Angriffe verwendbare Zertifikate lassen sich etwa erschwindeln, wenn die CA nicht genau überprüft, ob dem Antragssteller die entsprechende Domain wirklich gehört. (fab)
