Seit Mai 2018 wird jedes SSL-Zertifikat gemäß dem von Google entwickelten Konzept der Certificate Transparency ausgestellt. Dieser Mechanismus ist in Wirklichkeit eine umfangreiche Datenbank, die unter anderem die effiziente Erkennung fehlerhaft ausgestellter Zertifikate ermöglicht. Die Funktionsweise von CT basiert auf Log-Servern, an die Zertifizierungsstellen Informationen über die ausgestellten Zertifikate übermitteln. Das im Gegenzug erhaltene SCT (Signed Certificate Timestamp) wird anschließend in die Zertifikatsstruktur eingebettet.
Inhaltsverzeichnis
Merkmale der Certificate Transparency
Derzeit werden SSL-Zertifikate von Behörden weltweit ausgestellt. Trotz der Anwendung einer Reihe von Schutzverfahren und Sicherheitsmaßnahmen verläuft der Zertifikatsausstellungsprozess nicht immer reibungslos. Eine fehlerhafte Ausstellung führt in der Regel zur unsachgemäßen Ausstellung eines Zertifikats, das anschließend zur Übernahme vertraulicher Daten genutzt werden kann. Das Ziel des Mechanismus der Certificate Transparency ist es, die Benutzer vor solchen Bedrohungen zu schützen. CT verhindert zwar nicht die fehlerhafte Ausstellung eines Zertifikats, ermöglicht jedoch dessen schnelle Erkennung und die Einleitung spezifischer Widerratsmaßnahmen. Auf diese Weise kann die potenziell gefährliche Nutzung eines SSL-Zertifikats wirksam blockiert werden.
Hauptannahmen der Certificate Transparency
Das CT-System begann Anfang 2015, breit eingesetzt zu werden. Google stellte damals spezifische Anforderungen an Extended Validation (EV)-Zertifikate, die vor der Ausstellung an sogenannte Log-Server übermittelt werden müssen. Wenn eine vertrauenswürdige Zertifizierungsstelle diese Anforderung nicht erfüllt, erkennt der Chrome-Browser die Seite als unsicher. Die Idee der Certificate Transparency basiert daher in erster Linie auf der öffentlichen Bereitstellung von SSL-Zertifikaten durch Zertifizierungsstellen bereits zum Zeitpunkt ihrer Ausstellung. Dies erfolgt durch das Protokollieren der Zertifikate auf entsprechenden Servern – diese erlauben lediglich das Hinzufügen von Zertifikaten, verhindern jedoch deren Löschung oder Änderung. Benutzer, die an den Inhalten einer solchen Datenbank interessiert sind, können diese durchsuchen und die Korrektheit aller ausgestellten SSL-Zertifikate eigenständig überprüfen.
Certificate Transparency und der Chrome-Browser
Die Entwicklung der Certificate Transparency wurde von Google übernommen, weshalb das Unternehmen für die gesamte Richtlinie des Mechanismus verantwortlich ist. Derzeit geht man davon aus, dass alle nach dem 30. April 2018 ausgestellten Zertifikate auf den CT-Log-Servern protokolliert werden müssen – andernfalls betrachtet Chrome SSL-Zertifikate als nicht vertrauenswürdig und zeigt anstelle des Ladens der Seite eine Fehlermeldung an. Aufgrund der großen Beliebtheit dieses Browsers ist das Risiko, dass Zertifizierungsstellen diese Anforderung nicht erfüllen, zum Glück gering.
Übereinstimmung mit Certificate Transparency
Inhaber von SSL-Zertifikaten, die bis Ende April 2018 ausgestellt wurden, müssen sich keine Sorgen machen. Die von Google eingeführten Änderungen betreffen nur jene Zertifikate, die nach dem 1. Mai 2018 ausgestellt wurden. Beim Erstellen eines neuen SSL-Zertifikats ist es daher ratsam sicherzustellen, dass es die erforderliche Anzahl von SCTs (Signed Certificate Timestamp) enthält. Dieser Marker bestätigt, dass das Zertifikat von der erforderlichen Anzahl von Certificate Transparency-Logdiensten überprüft wurde. SCTs werden auf verschiedene Weise an Browser übermittelt. Dies kann durch eine Erweiterung im Zertifikat oder eine Erweiterung des TLS-Protokolls oder durch OCSP-Stapling (Online Certificate Status Protocol) erfolgen. Die erste Methode ist derzeit mit Abstand am beliebtesten. Ein Zertifikat, das für weniger als 15 Monate ausgestellt wurde, sollte mindestens 2 SCTs enthalten, während eines, das für einen Zeitraum von 15 bis 27 Monaten ausgestellt wurde, mindestens 3 SCTs aufweisen sollte.