Software::Browser
Chrome setzt »Certificate Transparency« um
Mit Chrome 68, der im Juli erscheinen wird, warnt Google Chrome großflächig beim Aufruf von Webseiten, deren SSL-Zertifikat nicht den Regeln der »Certificate Transparency« entspricht.
Google
Mit Google Chrome 68 gibt der Browser eine ganzseitige Warnung aus, wenn eine Webseite besucht wird, deren SSL-Zertifikat nicht in einem öffentlichen Zertifikatsverzeichnis registriert ist. Nutzer erhalten dadurch einen zusätzlichen Schutz vor Webseiten, deren SSL-Zertifikate möglicherweise für kriminelle Zwecke erworben wurden, um legitime Webseiten zu fälschen, Man-in-the-Middle-Angriffe zu starten oder Spyware zu verteilen.
Im Rahmen des Open-Source-Projekts Certificate Transparency will Google die Kontrolle über SSL-Zertifikate erhöhen, sodass Zertifikate, die von kompromittierten oder böswilligen Zertifizierungsstellen ausgestellt werden, leichter herausgefiltert werden können. Dazu sollen alle Zertifizierungsstellen (CAs) ein öffentlich einsehbares Protokoll über die täglich ausgestellten Zertifikate führen.
Zertifikatsprotokolle sind einfache Netzwerkdienste, die kryptografisch gesicherte, öffentlich überprüfbare Aufzeichnungen von Zertifikaten führen. Jeder kann Zertifikate in ein Protokoll eintragen, wobei die Zertifizierungsstellen wahrscheinlich die wichtigsten Einreicher sind. Ebenso kann jeder ein Protokoll nach einem kryptografischen Nachweis abfragen, mit dem überprüft werden kann, ob sich das Protokoll korrekt verhält oder ob ein bestimmtes Zertifikat protokolliert wurde. Ein Log-Server kann, unabhängig von einer CA, beispielsweise von einem Internet-Provider oder einer anderen interessierten Partei betrieben werden.
Die frühzeitige Ankündigung dieser Maßnahme bereits 2016 führte dazu, das heute die meisten CAs bereits solche öffentlichen Logs führen. Bereits im vergangenen Oktober wollte Google beginnen, die Übereinstimmung mit den Regeln der »Certificate Transparency«zu überprüfen. Der Start wurde dann aber verschoben und gilt jetzt für Zertifikate, die nach dem 30. April ausgestellt werden. Seit dem 1. Mai ist die neue Richtlinie nun in Kraft. Anwender werden die Warnungen aber erst ab dem Erscheinen von Chrome 68 im Juli zu sehen bekommen. Ältere Zertifikate, die noch nicht in einem Log erfasst sind, arbeiten normal weiter.
){kind=logo}
