Ab dem 1. Juni 2021 sind alle von gängigen Browsern akzeptierten TLS-Zertifikate in den Logs des Certificate-Transparency-Systems eingetragen. Der Grund: Seit einiger Zeit verlangt Google, dass alle neu ausgestellten Zertifikate mit Certificate Transparency kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.

Als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen unberechtigterweise Zertifikate ausstellten entstand Certificate Transparency. Die Idee dabei ist, dass alle Zertifikate in öffentlich einsehbare Logs eingetragen werden.

Der Effekt: Die dort eingetragenen Zertifikate kann jeder prüfen und nach möglichen Problemen suchen. Beispielsweise können Inhaber von Webseiten prüfen, ob für ihre Domains ihnen unbekannte Zertifikate ausgestellt wurden.

Auf verschiedene Arten können Webseiten gegenüber Browsern belegen, dass das verwendete Zertifikat geloggt wurde. Dabei ist die gängigste Methode, eine digital unterschriebene Bestätigung des Logs direkt ins Zertifikat einzubetten. Dafür wird ein Vorab-Zertifikat von der Zertifizierungsstelle an das Log geschickt.

Mit Hilfe von Certificate Transparency wurden seit der Einführung in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen aufgedeckt. Zu Beginn war Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate verpflichtend. Google verlangt seit Mai 2018 jedoch, dass alle neuen Zertifikate das System unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert werden wollen.

Bis März 2018 durften noch Zertifikate mit einer Laufzeit von 39 Monaten ausgestellen werden.

(hv, hannover)

(siehe auch: golem.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE