Zertifikate: Mozilla testet Ausstieg aus dem SSL-Widerrufs-Konzept OCSP
Der aktuelle Widerrufs-Mechanismus für Zertifikate bringt nichts für die Sicherheit und verlangsamt das Surfen spürbar. Deshalb will ihn jetzt auch Mozilla abschalten. Der designierte Nachfolger hat kaum Verbreitung und eigene Probleme.
Zertifikate muss man sperren können – schließlich könnte jemand den zugehörigen Schlüssel klauen. Bei TLS, das für die Sicherheit der HTTPS-Seiten verantwortlich ist, geht das nicht wirklich. Denn die dafür vorgesehene Infrastruktur ist kaputt. Nachdem sich Google schon davon verabschiedet hat, spielt jetzt auch Mozilla mit dem Gedanken, sie abzuschalten.
Wenn der geheime Schlüssel eines Zertifikats in falsche Hände kommt, sagt man dem Herausgeber Bescheid, und der sperrt es dann. Damit auch die Browser der Anwender davon erfahren, gibt es eigentlich das Online Certificate Status Protocol (OCSP). Damit fragt der Browser beim Besuch einer HTTPS-Seite beim Herausgeber des Zertifikats nach, ob das noch gültig ist. Google Chrome tut das schon seit einiger Zeit standardmäßig nicht mehr und auch Mozilla diskutiert, dass man es zumindest für die Domain-validierten Zertifikate abschalten sollte. Für die Nightly-Builds wurde das bereits umgesetzt.
OCSP ist kaputt
Denn der Mechanismus war eigentlich immer kaputt – und er bringt eine Reihe von Nachteilen mit sich. So verzögert der Abruf der OCSP-Informationen den Aufbau von HTTPS-Seiten spürbar. Die Zertifikats-Herausgeber haben nie eine ausreichend performante und ausfallsichere Infrastruktur aufgebaut. Laut Mozillas Telemetrie-Daten dauert es bei 9 Prozent der erfolgreichen OCSP-Anfragen länger als eine Sekunde, bis eine Antwort kommt; und erst kürzlich war der OCSP-Server von LetsEncrypt längere Zeit nicht erreichbar.
Vor allem wegen dieser Probleme wurde OCSP auch nie wirklich sicher umgesetzt. Denn wenn der Browser keine OCSP-Antwort bekommt, zeigt er nicht etwa eine Warnung an. Er macht einfach trotzdem weiter als wäre alles in Ordnung. Das könnte ein Angreifer ausnutzen und die OCSP-Kommunikation einfach blockieren. Beim Ausbleiben der OCSP-Antwort jedoch eine Fehlermeldung zu zeigen, wäre schlicht nicht praktikabel. Sonst würden Anwender in Fehlalarmen ertrinken – was der Sicherheit letztlich auch nicht förderlich wäre. Hinzu kommen weitere Probleme wie das, dass die Zertifikatsherausgeber an den OCSP-Anfragen sehen, welche Web-Seiten der Anwender abruft.
OCSP Stapling
Als Abhilfe empfehlen Google und Mozilla ein recht neues Konzept namens OCSP-Stapling. Dabei holt sich der Server regelmäßig – etwa einmal am Tag – eine digital signierte OCSP-Auskunft beim Herausgeber, die ihm bestätigt, dass sein Zertifikat tatsächlich noch immer gültig ist. Die liefert er dann zusammen mit dem Zertifikat aus. In Kombination mit der Zertifikats-Erweiterung "Must staple" (RFC 7633) wäre das ein sicheres Widerrufs-Konzept, das die Nachteile des herkömmlichen OCSP vermeidet. Allerdings hat es bisher keine sonderlich große Verbreitung gefunden und die Implementierungen etwa für Apache oder Nginx sind auch noch keineswegs ausgereift, wie Hanno Böck in einem Blog-Beitrag dokumentiert. (ju)