Wie "Certificate Transparency" Zertifikate im Web absichert

Die Logs des Certificate-Transparency-Systems protokollieren praktisch alle Zertifikate öffentlich, nachweislich und unveränderbar. Wir erklären, wie das geht.

Artikel verschenken

(Bild: KI, Collage c’t)

19.11.2024, 14:30 Uhr

Lesezeit: 17 Min.

c't Magazin

Von

Sylvester Tremmel

Wie "Certificate Transparency" Zertifikate im Web absichert
Transparenz hilft
Hashbäume
Nicht so schnell
Fest versprochen
Fazit

Artikel in c't 27/2024 lesen

Das verschlüsselte Web hat sich glücklicherweise weit verbreitet. Wenn Sie heutzutage eine Website aufrufen, geschieht das fast sicher über HTTPS. Das garantiert nicht nur Verschlüsselung, sondern bedeutet auch, dass Ihr Browser sicherstellt, mit wem er da redet: dass also wirklich die Server von ct.de antworten, wenn Sie beispielsweise https://ct.de aufrufen.

Für diese Garantie nutzt das Web Zertifikate und Zertifizierungsstellen (certificate/certification authority, CA). Nur der ct.de-Server kann auch ein Zertifikat für ct.de vorweisen – sofern alles klappt und insbesondere die CA keine Fehler gemacht hat. Auf letzteres ist leider nicht wirklich Verlass, wie beispielsweise eine Liste von "Certificate Authority Failures" bei SSLMate dokumentiert. Ein fehlerhaft ausgestelltes Zertifikat muss schnell und öffentlich wahrnehmbar widerrufen werden. Das ist eine durchaus haarige Angelegenheit, die alles andere als perfekt funktioniert.

Certificate-Transparency-Logs stellen eine globale Datenbank aller Zertifikate bereit.
Das erlaubt, irreguläre Zertifikate und fehleranfällige Zertifizierungsstellen zu erkennen.
Kaum vermeidbare Kompromisse machen das System aber ziemlich kompliziert.

Aber selbst wenn Rückrufe perfekt funktionierten, müsste der Fehler überhaupt erst einmal auffallen. Das stellt eine erhebliche Schwierigkeit dar, denn im Zertifikatssystem des Webs darf im Grunde jede CA für jede Domain Zertifikate ausstellen. Selbst wer sich also die beste, absolut makellos arbeitende CA aussucht, läuft dennoch Gefahr, dass irgendeine schäbige Bude irgendwo auf der Welt fälschlicherweise Zertifikate für die eigene Domain ausstellt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Erfahrungsbericht: Ein Jahr dynamischer Stromtarif mit Tibber

Dynamische Stromtarife werben damit, dass Strom manchmal günstiger ist. Wir haben es ein Jahr lang ausprobiert, mit Wärmepumpe, ohne Akku und etwas E-Auto.

Luxus-Laufband fürs Büro: Walkolution im Test

Das Walkolution 2 ist ein mechanisches Laufband aus Metall und Holz. Wir zeigen, für wen sich das teure Walkingpad aus Deutschland lohnt – und für wen nicht.

AMD Ryzen 9 9950X3D im Test: 16-Kern-CPU für Gamer und Kreativanwender

AMD packt in den 16-Kerner Ryzen 9 9950X3D zusätzlichen Level-3-Cache hinein. Wir prüfen, ob dieser auch abseits von 3D-Spielen mehr Performance bringt.

Webentwicklung: Drei API-Gateways im Vergleich

API-Gateways sortieren Anfragen, behandeln die Authentifizierung, begrenzen die Zugriffsrate und bereiten die Antworten für die Clients auf.

Viele ältere Objektive lassen sich an moderne Kameras adaptieren. Fotografen sparen Kosten und die Bildergebnisse können vielfach überzeugen., Alle Bilder: Radomir Jakubowski (Canon) und Stephan Amm (Nikon)

Gebrauchte Objektive im Test: Festbrennweiten für Canon R und Nikon Z

Für herausragende Fotos brauchen Fotografen gute Objektive. Es müssen aber keine modernen Modelle sein. Unsere Autoren erklären, was sich lohnt und was nicht.

Status quo beim illegalen Streaming von Filmen und Serien

Sogenannte Piracy-Add-ons machen aus handelsüblichen Android-Streamingboxen und Fire-TV-Sticks Filmabspieler für illegal beschaffte Medien. Ein Überblick.