Im Internet soll die Verschlüsselung sicherer werden. Ab dem 8. September müssen alle Zertifizierungsstellen (CAs) vor dem Ausstellen eines Zertifikats über DNS nachsehen, ob eine Certification Authority Authorization (CAA) vorliegt. Weltweit konnten alle CAs, wie auch deren Sub-CAs, bislang Zertifikate für jede beliebige Domain ausstellen. Dies führte oftmals zu Missbrauch.

Noch zeigen CAA-Records wenig Effekt, da ein entgegen der Vorgabe ausgestelltes Zertifikat weiterhin klaglos vom Browser und allen anderen Anwendungen akzeptiert wird, die der Zertifizierungsstelle vertrauen. Derzeit bietet Certificate Transparency (CT), welches Google massiv voran treibt, die einzige Chance, dass ein missbräuchlich ausgestelltes Zertifikat auffliegt.

Zertifizierungsstellen müssen gemäß CT ihre ausgestellten Zertifikate in revisionssicheren, öffentlichen Logs protokollieren. Aktuell ist dies bereits für Extended-Validation-Zertifikate verpflichtend. Chrome soll ab April 2018 gar keine neu ausgestellten Zertifikate mehr akzeptieren, die nicht per CT protokolliert wurden.

Im März verabschiedete das CA/Browser Forum den "Ballot 187 -- Make CAA Checking Mandatory" nahezu einstimmig. Ein freiwilliger Zusammenschluss aller wichtigen Browser-Hersteller und Zertifizierungsstellen ist das Gremium. Für die Erstellung und Verwaltung von X.509-Zertifikaten gibt es unter anderem verbindliche Richtlinien heraus.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE