Zertifikattransparenz

Zertifikattransparenz ist eine Google-Initiative. Google Chrome überprüft mithilfe der Zertifikattransparenz, ob ein SSL-Zertifikat legitim ausgestellt wurde. Zertifikattransparenz wird aktiv für EV-Zertifikate verwendet, und immer mehr Zertifizierungsstellen übermitteln ihre Zertifikate an die Zertifikattransparenzlisten.

Wie funktioniert Zertifikattransparenz?

Zertifikattransparenz (ZT) ist ein System von Google, das ausgestellte Zertifikate in hochsicheren, öffentlich zugänglichen Logs speichert. Beim Besuch einer Website prüft Chrome in diesen Protokollen, ob das gefundene SSL-Zertifikat korrekt ist. Die Protokolle protokollieren jeden Domänennamen, wann ein Zertifikat für eine Domäne ausgestellt wurde und von welchen CA (Aussteller des Zertifikats). Ein Browser kann dann diese Liste konsultieren, wenn eine SSL-gesicherte Seite besucht wird. Wenn das verwendete Zertifikat nicht in dieser Liste erscheint, wurde das Zertifikat (möglicherweise) falsch oder in betrügerischer Absicht ausgestellt. Der Browser kann dann die notwendigen Maßnahmen ergreifen. Die Folgen umfassen die Anzeige eines EV-SSL-Zertifikats ohne eine grüne Adressleiste, die Angabe einer Fehlermeldung oder die Sperrung des Zugriffs auf eine Website.

Warum Zertifikattransparenz?

Browser verwenden Kontrollmechanismen wie CRL en OCSP. Beide Techniken verwenden dazu die Statusinformationen einer CA. Durch die Verwendung von ZT sind Browser nicht mehr von den Informationen der Zertifizierungsstellen abhängig. Darüber hinaus teilen CRL und OCSP nur mit, ob ein Zertifikat in der Zwischenzeit abgelaufen oder zurückgezogen wurde. ZT gibt auch an, welches Zertifikat von welchen CA verwendet werden soll. Dies gibt eine zusätzliche Garantie, wenn ein Stammzertifikat eines CA missbraucht wird. Dies ergibt sich nicht aus einer CRL-Prüfung, sondern aus der CT-Liste.

Was wird passieren?

Google hat begonnen, in Chrome Version 33 nach ZT zu suchen. Seit dem 1. Februar 2015 benötigen Sie ZT für alle EV-Zertifikate. Das Fehlen von ZT-Informationen ab diesem Datum bedeutet, dass Chrome keine grüne Leiste anzeigt. Alle Zertifizierungsstellen nehmen an dieser Initiative teil und stellen sicher, dass die ausgestellten Zertifikate in der ZT-Liste bekannt sind. Im Oktober 2016 hat Google angekündigt, bis Oktober 2017 die Zertifikattransparenz für alle Zertifikate zu beantragen. Nach diesem Datum wird ein Zertifikat, das nicht im ZT-Protokoll angezeigt wird, in Chrome nicht vertraut. Dies gilt also für alle Arten von SSL-Zertifikaten aller Publisher. Um allen Beteiligten mehr Vorbereitungszeit zu geben, kündigte Google im August 2017 an, dass Sie diese Frist um 6 Monate verschieben und ab April 2018 Zertifikattransparenz benötigt wird.

Wie erscheint mein Zertifikat auf der ZT-Liste?

Das Hinzufügen von Zertifikaten zu den ZT-Listen geschieht durch die Zertifizierungsstelle, der Endbenutzer oder Zertifikatsinhaber muss dafür nichts tun. Zertifikate werden der Liste hinzugefügt, bevor sie ausgestellt werden. Sie müssen keine zusätzliche Wartezeit berücksichtigen, bevor Ihr Zertifikat verwendbar ist.

Externe Informationen

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.