Chrome: Google macht Ernst mit Certificate Transparency
Ab sofort müssen neu ausgestellte TLS-Zertifikate mit Googles Certificate Transparency konform gehen – ansonsten zeigt Chrome beim Besuch einer entsprechenden Seite eine Warnung an.
(Bild: Pixabay)
Damit das Aufrufen von HTTPS-Webseiten mit Chrome ohne Zwischenfälle klappt, müssen Zertifizierungsstellen (CA) TLS-Zertifikate seit 30. April gemäß Googles Certificate Transparency (CT) ausstellen. Geschieht dies nicht, zeigt Chrome beim Besuch einer entsprechenden Webseite eine ganzseitige CT-Warnung an. Zertifikate, die vor Ende April 2018 ausgestellt wurden, sind davon nicht betroffen, führt ein Google-Techniker aus.
Bei CT handelt es sich um ein öffentliches Log-Buch, in dem alle CAs ihre Aktivitäten eintragen müssen. Die Einträge sind kryptografisch gesichert und lassen sich nachträglich nicht ändern. Damit will Google dem Missbrauch von TLS-Zertifikaten auf die Spur kommen. Über CT kann man beispielsweise regelwidrig ausgestellte Zertifikate aufspüren und anschließend sperren lassen. Bislang greift ausschließlich Googles Chrome auf das CT-Log zu.
Zwischenfälle, wie etwa die von Symantec als Test ausgestellten Google-Zertifikate oder die fatalen Fehler bei Türktrust sollten umgehend die Alarmglocken schellen lassen. Vor allem soll so aber auch vorsätzlicher Missbrauch durch Dritte, wie im Fall Diginotar, verhindert werden.
Bisher betraf das nur Extended-Validation-Zertifikate (EV). Nun gilt CT auch für Domain-Validated- (DV) und Organization-Validated-Zertifikate (OV). Damit es im Intranet von Firmen nicht zu Problemen kommt, können Admins CT deaktivieren. Ergänzend zur URL-Lösung dafür, soll es zeitnah auch eine Richtlinie in Chrome für die Deaktivierung geben. (des)
