Software::Desktop
Google Chrome will Zertifikatsprüfung ohne Web-Zugriff einführen
Adam Langley von Googe hat in seinem Blog beschrieben, wie der Webbrowser Chrome künftig die Prüfung von Zertifikaten von HTTPS-Webseiten handhaben will.
Wenn ein Browser eine Webseite mit HTTPS aufruft, sollte er das Zertifikat des jeweiligen Webservers prüfen. Zertifikate werden von Zertifizierungsstellen zentral ausgestellt und können von diesen auch für ungültig erklärt werden. Da die Liste der ungültigen Zertifikate bei der Zertifizierungsstelle abgerufen werden muss, hat das zweierlei Konsequenzen: Der Aufruf und die Übertragung übers Netz kostet Zeit, und die Zertifizierungsstelle könnte die Daten sammeln.
Ein weiteres Problem ist, dass die Zertifizierungsstelle vielleicht nicht erreichbar ist oder durch Schadsoftware auf dem Rechner des Benutzers abgeblockt wird. Daher ignorieren nahezu alle Browser solche Probleme und nehmen einfach an, dass das Zertifikat noch gültig ist.
Wenn die Zertifizierungsstelle erreichbar ist, ist laut Langley die Zeit für das Prüfen des Zertifikats 0,3 s im Median und fast eine Sekunde im Mittel. Das könnte die Benutzer dazu bringen, lieber das ungesicherte HTTP zu verwenden, weil sie so einfach schneller browsen können. Es ist außerdem ein Privatsphärenproblem, da die Zertifizierungsstelle die IP-Adresse des Anfragenden sowie den Ziel-Server erhält und protokollieren könnte.
Aus diesen Gründen sollen kommende Versionen von Google Chrome auf die Online-Prüfung verzichten. Stattdessen soll der Browser die jeweils aktuellen Listen der ungültigen Zertifikate eingebaut haben. Doch das ist noch nichts Neues, und das machen Firefox und die Browser von Opera und Microsoft auch schon. Zusätzlich soll Chrome den Online-Update-Mechanismus nutzen, um die Liste ohne Neustart des Browsers zu aktualisieren. Schadsoftware könnte zwar versuchen, solche Updates zu blockieren, dies scheint aber viel weniger aussichtsreich als die Blockierung von Zertifizierungsstellen. Mit der Maßnahme zieht Google auch die Konsequenzen aus der Kompromittierung mehrerer Zertifizierungsstellen im vergangenen Jahr, die von den betroffenen Unternehmen teilweise lange verheimlicht wurden. Trotzdem sind die Zertifizierungsstellen aufgefordert, ihre Listen für die Verwendung in Chrome zur Verfügung zu stellen.
