Google fordert Zertifikattransparenz

13 Dezember 2016

Google hat vor kurzem angekündigt, Zertifikattransparenz ab Oktober 2017 zur Pflicht zu machen. Nach diesem Datum ausgegebene SSL-Zertifikate müssen den Zertifikattransparenz-Anforderungen genügen, da sie ansonsten als nicht vertrauenswürdig angezeigt werden.

Was ist Zertifikattransparenz?

Zertifikattransparenz ist ein Open Source-System zur Registrierung von SSL-Zertifikaten, das Google seit 2013 entwickelt hat. Im klassischen PKI-Modell stellen die Zertifizierungsstellen die Statusinformationen zur Gültigkeit von SSL-Zertifikaten über CRL und OCSP zur Verfügung. Wie die Vergangenheit gezeigt hat, ist dieses System nicht zu 100 % sicher, daher hat sich Google entschieden, einen eigenen Kontrollmechanismus zur Reduzierung des Missbrauchs von SSL-Zertifikaten zu entwickeln. Ein bekanntes Beispiel für diesen Missbrauch ist DigiNotar, wobei vertrauenswürdige Zertifikate heimlich für Domains von unter anderem Gmail von Google ausgegeben wurden. Da dies nicht entdeckt wurde, wurden die fälschlicherweise ausgegebenen SSL-Zertifikate von allen Browsern als vertrauenswürdig anerkannt. Damals hat Google schon für seine eigenen Domains ein Verzeichnis mit Details darüber geführt, welches Zertifikat für welche Website genutzt wurde. Dabei wurde das falsche Gmail-Zertifikat sehr schnell entdeckt. Damit derartige Vorfälle zukünftig vermieden werden konnten, wurde dieses Feature (oder diese Übersicht) in den Chrome-Browser integriert. Google ist der Meinung, dass der aktuelle Entwicklungsstand einen groß angelegten Rollout rechtfertigt.

Aktuelle Situation

Seit Januar 2015 werden EV-Zertifikate aller CAs in die Zertifikattransparenz- (ZT-) Logs integriert. Ist ein EV-Zertifikat nicht im ZT-Log registriert, wird die grüne Adressleiste für dieses Zertifikat nicht angezeigt. Zusätzlich dazu werden alle von Symantec ausgegebenen Zertifikate den ZT-Logs hinzugefügt. Das bezieht sich sowohl auf die Marken Symantec, GeoTrust und Thawte als auch für die Zertifikate ohne grüne Adressleiste. Dies ist die Folge eines Vorfalls, bei dem Symantec gültige Zertifikate zu internen Testzwecken über Public Domains von Google-Services ausgegeben hat. Als Reaktion darauf hat Google Symantec dazu verpflichtet, alle ihre SSL-Zertifikate in den ZT-Logs zu registrieren.

Was wird sich ändern?

Ab Oktober 2017 werden sie einen Schritt weiter gehen: Ab diesem Datum müssen alle SSL-Zertifikate im ZT-Log gefunden werden. Das gilt auch für Zertifikate mit einer Domain- und Organisationsvalidierung. Diese Ankündigung erfolgte Ende Oktober und wurde anschließend im CA/Browser-Forum, dem Beratungsorgan der CAs und Browser-Hersteller veröffentlicht. Diese Verpflichtung hat zur Folge, dass ab Oktober 2017 alle Zertifizierungsstellen (CA) alle von ihnen ausgegebenen Zertifikate in den CT-Logs registrieren müssen, damit die Integrität der Zertifikate von Chrome überprüft werden kann. Die Zertifikate werden von der Zertifizierungsstelle im ZT-Log erfasst, so dass die Nutzer oder Zertifikatsinhaber nichts weiter tun müssen.

Warum sind diese Änderungen erforderlich?

Sicherheit im Internet ist seit einiger Zeit eine der Prioritäten von Google. Auf der einen Seite fördern sie den Einsatz von SSL-Zertifikaten: Seit einigen Jahren wirkt sich die Nutzung von HTTPS für die gesamte Website positiv auf das Ranking bei Google Search aus, ab Januar 2017 werden Warnungen für Webseiten ohne HTTPS ausgesprochen und nach einer umfassenden Recherche wurden die Sicherheitsindikatoren im Browser definiert. Auf der anderen Seite versuchen sie, das SSL-Zertifikatssystem mit Initiativen wie Zertifikattransparenz sicherer zu machen.