Certificate Transparency im Anmarsch
Google will ab dem 1. Juni 2016 alle SSL-Zertifikate aus dem Hause Symantec mit einer Warnung in Chrome versehen, sollte die Zertifizierungsstelle nicht jedes ausgestellte Zertifikat via Certificate Transparency registrieren. Warum diese Massnahme?
Im letzten Herbst wurde Symantec von Google erwischt, wie der bekannte Antiviren-Hersteller zu internen Testzwecken Google-Zertifikate ausgestellt hatte. Diese wurden versehentlich intern veröffentlicht und Chrome meldete die Diskrepanz bei der Zertifizierungsstelle (CA) des vermeintlich eigenen Zertifikates sofort seinem Entwickler. Diese Zertifikate waren zwar nur einen Tag gültig und es sollte, gemäss Symantec, zu keinem Zeitpunkt eine Bedrohung der Benutzer bestanden haben. Dennoch hat Google als Antwort darauf schon damals angekündigt, ab dem 1. Juni 2016 alle Symantec-Zertifikate, die nicht via Certificate Transparency (CT) registriert werden, im eigenen Browser mit einer herabstufenden Sicherheitswarnung zu versehen.
Certificate Transparency
Die CT ist eine Art kryptografisch gesichertes Log in dem alle ausgestellten Zertifikate aller CAs registriert werden sollen. Dies kann zwar die Ausstellung falscher Zertifikate nicht verhindern, doch da sich das Log im Nachhinein nicht mehr ändern lässt, fallen schwarze CA-Schafe bei regelmässigen Kontrollen schnell auf.
Bis jetzt ist Googles Webbrowser Chrome noch der einzige der CT unterstützt. Dennoch hat Google bei den Extended Validation-Zertifikaten schon gegen den Widerstand vieler CAs erwirkt, dass alle ab dem 1. Januar 2015 beim CT-Programm registriert werden müssen. Von vielen Firmen wird deshalb für alle Zertifikate als "Best Practice" empfohlen, beim CT-Programm teilzunehmen, da es wohl nur eine Frage der Zeit ist, bis CT von allen Browser-Herstellern bei allen CAs verlangt wird.
Wen betrifft es und was muss getan werden?
Einige SSL-Zertifikat-Käufer bekamen in den letzten Tagen Emails ihres Zertifikat-Verkäufers, die sie in dringenden Worten darauf aufmerksam machten, dass ihre Zertifikate ohne Registrierung in Kürze Sicherheitswarnungen bei den eigenen Kunden im Browser generieren könnten. Doch die Situation ist nicht ganz so schlimm wie es auf den ersten Blick erscheint:
- Betroffen sind zurzeit nur Zertifikate der Symantec-Gruppe (Symantec, Geotrust, Thawte, ehemals Verisign).
- Alle öffentlichen Zertifikate dieser Gruppe werden automatisch via CT registriert, da ihre Daten sowieso schon öffentlich zugänglich sind. In diesem Fall muss nichts unternommen werden.
- Alle internen Zertifikate dieser Gruppe sollten hingegen via CT registriert werden, falls sie für die Kommunikation mit einer CT-fähigen Applikation verwendet werden. In diesem Fall sollte der Kunde von seinem Zertifikats-Verkäufer mit der entsprechenden Bitte informiert worden sein, einer Registrierung via CT zuzustimmen.