Die Certificate Transparency wird Pflicht – Google will Nutzer so besser schützen! Wenn ab Oktober 2017 für ausgestellte Zertifikate keine Certificate-Transparency-Logs vorliegen, wird diesen nicht vertraut. Jetzt sind die CAs gefragt – und Google bietet Hilfe an, um Probleme aus den Weg zu räumen!
Was ist eine Certificate Transparency?
Beschrieben wird die Certificate Transparency1 im RFC 69622. Will man es auf den Punkt bringen, so könnte man sagen: Es geht um die Erkennung und Blockierung von SSL-Zertifikaten, welche fälschlicherweise ausgestellt worden sind. Das ist z.B. der Fall, wenn jemand für “google.de” ein Zertifikat beantragt und es auch ausgestellt bekommt3. Der Schaden ist immens, da dem Nutzer eine sichere Verbindung vorgegaukelt werden kann, die gar nicht existiert.
Das ist noch kritischer als eine unsichere Verbindung – schließlich fühlt der Benutzer sich in dem Augenblick sicher und ist bereit Daten einzugeben, die er nie auf einer unverschlüsselten Verbindung eingeben würde. Alle Überprüfungsmechanismen laufen schließlich ins Leere, wenn sich jeder beliebige ein Zertifikat für eine Domain ausstellen lassen könnte, die ihm nicht gehört. Ich würde sogar behaupten, dass Online-Banking ohne das Vertrauen der Zertifikate gar nicht möglich wäre.
Es gab bereits mehrfach Probleme mit CAs und Zertifikaten!
Oktober 2016
Mozilla macht ernst und entzieht den Certificate Authorities WoSign und StartCom (Betreiber von StartSSL) das Vertrauen. Die Rückdatierung von Zertifikaten und der Verheimlichung von Firmen Übernahmen sorgten für die Maßnahmen. Google, Apple und Microsoft wollen nachziehen.4
September 2015
Bei Symantec wurde rumgespielt – und zwar mit drei gefälschten Google Zertifikaten. Kein Spielzeug, genau! Erkannt wurde das dank Certificate Transparency. Daraufhin wurden wohl einige Mitarbeiter bei Symantec gegangen.5, 6
Januar 2013
Türktrust hat ein SSL-Zertifikat ausgegeben. Aber nicht irgendeins – sondern direkt ein SubCA-Zertifikat für *.google.com. Kann man machen – aber nur einmal. Vertrauen ist futsch: Mozilla, Microsoft und Google entzogen Türktrust das Vertrauen.7
Certificate Transparency wird Pflicht? Meine Meinung!
Wer sein Geschäftsmodell auf Vertrauen aufbaut – der sollte sich auch bemühen dieses zu wahren. Wenn die Betreiber der CAs nicht selbst für die nötigen Maßnahmen sorgen können, eine vertrauenswürdige Infrastruktur aufrecht zu erhalten, müssen sie wohl dazu gezwungen werden. Zertifikate bilden schließlich, teilweise dank ihrer sorgfältigen Identitätsüberprüfungen, die einzigen Sicherheitsanker im Internet.
Wenn also eine CA ernsthaft nach dem Oktober 2017 arbeiten und existieren will, sollte diese bis dahin die Certificate Transparency einführen. Aber Missbrauch findet auch bei Let’s Encrypt statt – jedoch auf einer anderen Ebene.
Weitere Informationen und Quellen
[1] Certificate Transparency – Website
[2] Google: Certificate Transparency wird Pflicht! (heise)
[3] Announcement: Requiring Certificate Transparency in 2017 (Groups.Google)
[4] TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an (heise)
[5] Symantec hantiert mit falschem Google-Zertifikat (heise)
[6] Improved Digital Certificate Security (Security.Googleblog)
[7] Fatale Panne bei Zertifikatsherausgeber Türktrust (heise)
[8] Mozilla entzieht WoSign und StartCom (StartSSL) das Vertrauen
[9] RFC 6962 – Certificate Transparency (ietf.org)