zurück zum Artikel

Chrome: Google macht Ernst mit Certificate Transparency

Dennis Schirrmacher
Chrome: Google macht Ernst mit Certificate Transparency

(Bild: Pixabay)

Ab sofort müssen neu ausgestellte TLS-Zertifikate mit Googles Certificate Transparency konform gehen – ansonsten zeigt Chrome beim Besuch einer entsprechenden Seite eine Warnung an.

Damit das Aufrufen von HTTPS-Webseiten mit Chrome ohne Zwischenfälle klappt, müssen Zertifizierungsstellen (CA) TLS-Zertifikate seit 30. April gemäß Googles Certificate Transparency [1] (CT) ausstellen. Geschieht dies nicht, zeigt Chrome beim Besuch einer entsprechenden Webseite eine ganzseitige CT-Warnung an. Zertifikate, die vor Ende April 2018 ausgestellt wurden, sind davon nicht betroffen, führt ein Google-Techniker aus [2].

Bei CT handelt es sich um ein öffentliches Log-Buch, in dem alle CAs ihre Aktivitäten eintragen müssen. Die Einträge sind kryptografisch gesichert und lassen sich nachträglich nicht ändern. Damit will Google dem Missbrauch von TLS-Zertifikaten auf die Spur kommen. Über CT kann man beispielsweise regelwidrig ausgestellte Zertifikate aufspüren und anschließend sperren lassen. Bislang greift ausschließlich Googles Chrome auf das CT-Log zu.

Zwischenfälle, wie etwa die von Symantec als Test ausgestellten Google-Zertifikate [3] oder die fatalen Fehler bei Türktrust [4] sollten umgehend die Alarmglocken schellen lassen. Vor allem soll so aber auch vorsätzlicher Missbrauch durch Dritte, wie im Fall Diginotar [5], verhindert werden.

Bisher betraf das nur Extended-Validation-Zertifikate (EV). Nun gilt CT auch für Domain-Validated- (DV) und Organization-Validated-Zertifikate (OV). Damit es im Intranet von Firmen nicht zu Problemen kommt, können Admins CT deaktivieren [6]. Ergänzend zur URL-Lösung dafür, soll es zeitnah auch eine Richtlinie in Chrome für die Deaktivierung geben. (des [7])

URL dieses Artikels:
https://www.heise.de/-4038968

Links in diesem Artikel:
[1] https://tools.ietf.org/html/rfc6962
[2] https://groups.google.com/a/chromium.org/forum/#!msg/ct-policy/wHILiYf31DE/iMFmpMEkAQAJ
[3] https://www.heise.de/news/Symantec-hantiert-mit-falschem-Google-Zertifikat-2822333.html
[4] https://www.heise.de/news/Fatale-Panne-bei-Zertifikatsherausgeber-Tuerktrust-1776879.html
[5] https://www.heise.de/news/Der-Diginotar-SSL-Gau-und-seine-Folgen-1423893.html
[6] https://www.chromium.org/administrators/policy-list-3#CertificateTransparencyEnforcementDisabledForUrls
[7] mailto:des@heise.de

Copyright © 2018 Heise Medien