Certificate Transparency (CT) – Alles was Sie wissen müssen

Die nächsten wichtigen Änderungen bei SSL/TLS Zertifikaten

Certificate Transparency (CT) ist eine Initiative von Google um Zertifikate, welche von Certificate Authorities (CAs) ausgestellt wurden, zu protokollieren, zu kontrollieren und zu überwachen. Der Grund für die Initiative liegt darin, dass CAs daran gehindert werden sollen, Public Key-Zertifikate auszustellen, ohne vorher den Eigentümer der Domain hierüber zu informieren.


Chrome Support für CT verlangt von allen CAs über sämtliche EV SSL-Zertifikate öffentliche Protokolle damit die grüne Adressleiste auch weiterhin aktiv bleibt. Lesen Sie im Weiteren, welche genauen Änderungen geplant sind und wie Symantec Sie bei der Umstellung unterstützten möchte:

Falschausgabe vermeiden

Heutzutage sind SSL/TLS-Zertifikate der wesentliche Bestandteil der Sicherheit von eCommerce-Transaktionen, Online-Banking oder E-Mail-Datenverkehrs. Ein SSL/TLS-Zertifikat hat hierbei zwei Hauptaufgaben:

Es ermöglicht die Verschlüsselung der Informationen die zwischen dem Webbrowser und der besuchten Webseite ausgetauscht werden, damit kein Dritter auf die Informationen zugreifen kann. Dies schützt also z.B. vor dem Zugriff unbefugter Personen auf Kreditkartendaten. Die Zweite, nicht weniger wichtige Funktion ist, die Vertrauenswürdigkeit des Website-Betreibers zu prüfen und dem Besucher entsprechend zu vermitteln.

Zertifikatsaustellende Certification Authorities (CAs) wie Symantec können sich bei der Validierung dieser Informationen nicht den kleinsten Fehler erlauben. Deshalb investieren vertrauenswürdige CAs wie Symantec hohe Summen in Personal und Sicherheitsmechanismen, um den zur Unternehmens-/Identitätsprüfung nach höchsten Standards und unter allen Umständen sicherzustellen, bevor Organization (OV) oder Extended Validation (EV) Zertifikat ausgestellt werden. Trotzdem: Nicht alle vermeintlich vertrauenswürdige CAs arbeiten nach den gleichen Standards und haben in der Vergangenheit Zertifikate für prominente Websites an
nicht autorisierte Antragsteller ausgestellt.

Diese fälschlicherweise ausgestellten Zertifikate sollten schnellst möglich ausfindig gemacht werden um den Schaden durch unerlaubte Verwendung dieser Zertifikate so gering wie möglich zu halten. Certificate Transparency (CT) ermöglicht eine realistische Vorgehensweise um sich dieses Problems anzunehmen.

So funktioniert’s:

Es gibt vier wichtige Teilnehmer bei CT:

Cerification Authorities (CAs), Log-Server (die als öffentliche Datenbanken für SSL Zertifikate fungieren),
Auditoren (Web Browser oder jegliche Clients welche mit SSL Zertifikaten arbeiten) und & Monitoring-Dienste.

Bevor ein Zertifikat ausgestellt wird, muss die entsprechende CA die gesamten Informationen des betreffenden Zertifikats an mindestens einen vertrauenswürdigen Log-Server schicken dem die CA und die Auditoren gemeinsam vertrauen. Der Log-Server nimmt das Zertifikat entgegen und gibt eine unveränderbare und einzigartige Bestätigung an die CA aus (Signed Certificate Timestamp – SCT). Bei Ausstellung eines Zertifikats wird dann gleichzeitig zu diesem auch der SCT beigefügt. Es gibt auch andere Möglichkeiten, einen geeigneten Nachweis zu erbringen, diese werden zu einem späteren Zeitpunkt besprochen.

Das aktuelle TLS/SSL System im Vergleich zu TLS/SSL mit CT

Wenn ein Browser eine durch SSL unterstütze Webseite aufruft, überprüft dieser zunächst das Zertifikat anhand einer offiziell vorbestimmten Checkliste. Certificate Transparency (CT) sieht zusätzlich vor, dass Browser, die eine Auditorenrolle bei CT übernehmen, auch den SCT Nachweis, welcher im Zertifikat enthalten sein sollte, überprüfen. Ein Browser überprüft die SCT-Nachweise mit Hilfe vertrauenswürdiger Log-Server. Damit ein SCT-Nachweis als gültig eingestuft werden kann, muss ein Browser den öffentlichen Schlüssel des Log-Servers, der den SCT-Nachweis ausgestellt hat, in seiner lokalen Datenbank vorfinden. Hier muss auch darauf hingewiesen werden, dass die angeforderte Überprüfung des Browsers an den Log Server nicht in Real-Time geschieht. Bis jetzt ist Google Chrome der einzige Browser, der CT unterstützt. Die Rolle des Browsers bei CT liegt hauptsächlich darin, bei den CAs durchzusetzen, dass die Ausstellung von Zertifikaten öffentlich gemacht wird und der Nachweis direkt enthalten ist.

CT-Monitoring-Dienste können von jedem, der neu in Log-Server aufgenommene Zertifikate einsehen möchte, entwickelt und eingesetzt werden. Die Absicht hierbei ist, dass man durch die Überwachung der Log-Server falsch ausgestellte Zertifikate für bestimmte Webseiten ausfindig machen kann.

SCT-Nachweise müssen auch nicht in SSL-Zertifikate direkt eingebaut werden, denn man kann diese auch als TLS-Erweiterung oder durch OCSP-Stapelung übermitteln. Diese Methoden bedarf es allerdings spezieller Konfigurationen auf den Web Servern.

CT ist ein guter Ansatz um alle ausgestellten SSL-Zertifikate auf einem oder mehreren öffentlichen Archiven zugänglich zu machen. Sollte eine CA sich dazu entscheiden, die ausgestellten SSL-Zertifikate nicht auf Log-Servern zu veröffentlichen, ist es dem Browser überlassen, wie damit umgegangen wird. Es wurde bereits vorgeschlagen (und es zeichnet sich als äußerst wahrscheinlich ab), dass Googles Chrome-Browser schon ab Anfang des nächsten Jahres keine grüne Adresszeile mehr bei EV-Zertifikaten anzeigen wird, wenn diese nicht die nötigen Nachweise zur Certificate Transparency enthalten.
Es kann darüber diskutiert werden, dass man Anstelle von öffentlichen Archiven alle öffentlich zugänglichen Zertifikate überprüft könnte, um fälschlich ausgestellte Zertifikate zu erkennen, allerdings würde dieses sehr viel mehr Zeit in Anspruch nehmen, als wenn man die auf einem Log-Server hinterlegten Nachweise überprüfen würde, bevor ein Zertifikat vom Client anerkannt würde. Dieser enorme Zeitvorteil ist der eigentliche Nutzen von CT durch die unterstützenden Browser. Da es jedoch einfach nicht genug CT-Auditoren gibt, kann das volle Potential von CT auch nicht erschlossen werden. Derzeit gibt es neben Google Chrome keinen anderen großen Browser, der den CT-Support bekanntgegeben hat. Natürlich müssten mittelfristig auch Desktop-Anwendungen, Apps auf Mobilgeräten und Web-Dienste, welche Bestandteil der SSL-Welt sind, teilnehmen, damit CT wirklich wie geplant funktioniert.

CT-Monitoring stellt eine bessere und schnelle Methode da, falsche SSL-Zertifikate zu entdecken, als regelmäßig das komplette Internet zu scannen. Jedoch wird nicht jeder Betreiber eines SSL-Zertifikats über die nötigen Mittel verfügen können, sich solche CT-Monitore zulegen zu können. Es werden sich wahrscheinlich nur die größeren Unternehmen die nötigen Ausgaben für die Monitoring-Dienste leisten können [Update vom 22.12.2016: Auf ctlog.io stellt CertCenter nun ein kostenloses Basis-Monitoring zur Verfügung].

CAA, eine echte Alternative?

Es ist wichtig anzumerken, dass CT nicht das Problem der fälschlich ausgestellten Zertifikate löst, sondern es mit CT nur wesentlich einfacher wird, diese fälschlichen Ausstellungen zu ermitteln. Es gibt aber auch andere Wege wie zum Beispiel CCA, welches die unautorisiert ausgestellten Zertifikate auf eine andere Art ermittelt: Mit CCA kann ein Seitenbetreiber in den DNS-Einstellungen die CAs benennen, welche Zertifikate für seine Domain ausstellen dürfen. Jede CA die CAA unterstützt, sollte eigentlich zunächst auf erforderlichen CAA-Eintrag in den DNS-Einstellungen prüfen, bevor sie Zertifikate ausgibt. Derzeit ist dies allerdings noch nicht obligatorisch. Wenn jedoch Auditoren/Browser dieses durchsetzen würden – ähnlich wie bei CT – dann könnte CAA sich als eine weitere effektive Methode zur Verhinderung von unautorisiert ausgestellten Zertifikate herausstellen.

Herausforderung für den Datenschutz

Vom Standpunkt des Datenschutzes stellt CT eine Herausforderung dar, denn ein legitimer Seitenbetreiber mit EV-Zertifikat hat zukünftig mit CT-fähigen Browsern Probleme bei der Darstellung der grünen Adressleiste, wenn er – aus welchen Gründen auch immer – nicht bereit ist, seine Zertifikatsinformationen in der Datenbank der Log-Server zu veröffentlichen.
Nur ein nachvollziehbarer Grund wäre z.B. ein SSL-Zertifikat für den Betrieb eines sich noch in Entwicklung befindlichen Produkts, welches noch nicht öffentlich gemacht werden soll. Oder denken Sie nur an ein neues Projekt der Regierung. CT muss also eine Möglichkeit bieten, den Datenschutz auch bei voller CT-Unterstützung gewährleisten zu können.

Wie CertCenter Ihnen hilft

Bei Kunden mit bestehenden EV-Zertifikaten werden wir uns zusammen mit der jeweiligen CA darum bemühen, die Anforderungen an Ihren Datenschutz in Verbindung mit den SSL-Zertifikaten auch im Einzelfall nachzuvollziehen und umsetzen zu können. Wir möchten gewährleisten können, dass Informationen über intern genutzte SSL-Zertifikate auch geheim bleiben und nicht zu öffentlichen CT Log-Servern übermittelt werden. Informationen zu öffentlich betrieben SSL-Zertifikaten werden automatisch an CT Log-Server übermittelt. Dieses wird noch vor Februar 2015 geschehen um sicher gehen zu können, dass die grüne Adressleiste bei öffentlich betriebenen Webseiten auch weiterhin korrekt in Googles Chrome-Browser (und zukünftigen CT-kompatiblen Browsern)
dargestellt wird. In Zukunft werden EV-Zertifikate bei der Bestellung oder Verlängerung über eine neue Option verfügen, über die festgelegt werden kann, ob die Zertifikatsinformationen auf Log-Servern veröffentlicht werden (grüne Adressleiste aktiv) oder nicht (keine grüne Adressleiste). Um mehr darüber zu erfahren, laden wir Sie dazu ein, unsere Wissensbank zu besuchen.

Bleiben Sie in Kontakt

Sehen Sie sich die neusten Informationen und Blogs auf unserer Twitter-Seite an und besuchen Sie unser Support Forum um Nutzerhinweise und Lösungen für häufige Probleme zu erhalten.

FacebooktwitterredditpinterestlinkedinmailFacebooktwitterredditpinterestlinkedinmail