Ab dem 1. Juni 2021 sind alle von gängigen Browsern akzeptierten
TLS-Zertifikate in den Logs des Certificate-Transparency-Systems
eingetragen. Der Grund: Seit einiger Zeit verlangt Google,
dass alle neu ausgestellten Zertifikate mit Certificate Transparency
kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.
Als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen
unberechtigterweise Zertifikate ausstellten entstand Certificate
Transparency. Die Idee dabei ist, dass alle Zertifikate in öffentlich
einsehbare Logs eingetragen werden.
Der Effekt: Die dort eingetragenen Zertifikate kann jeder prüfen
und nach möglichen Problemen suchen. Beispielsweise können
Inhaber von Webseiten prüfen, ob für ihre Domains ihnen
unbekannte Zertifikate ausgestellt wurden.
Auf verschiedene Arten können Webseiten gegenüber Browsern
belegen, dass das verwendete Zertifikat geloggt wurde. Dabei ist
die gängigste Methode, eine digital unterschriebene Bestätigung
des Logs direkt ins Zertifikat einzubetten. Dafür wird ein
Vorab-Zertifikat von der Zertifizierungsstelle an das Log geschickt.
Mit Hilfe von Certificate Transparency wurden seit der Einführung
in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen
aufgedeckt. Zu Beginn war Certificate Transparency nur für
sogenannte Extended-Validation-Zertifikate verpflichtend. Google
verlangt seit Mai 2018 jedoch, dass alle neuen Zertifikate das System
unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert
werden wollen.
Bis März 2018 durften noch Zertifikate mit einer Laufzeit
von 39 Monaten ausgestellen werden.
(hv, hannover)
(siehe auch: golem.de)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|