Verschlüsselung & Datensicherheit

Google Chrome: Zertifizierungsstellen werden zu Certificate Transparency verpflichtet

Google Chrome: Zertifizierungsstellen werden zu Certificate Transparency verpflichtet
Certificate Transparency verhindert Missbrauch und dient dem Schutz der Nutzer

Bereits seit Jahren gibt es durch Google Bestrebungen für mehr Transparenz bei den Certificate Authorities zu sorgen. Nun wollen die Autoren des Chrome-Browsers Zertifizierungsstellen (CAs) zu Certificate Transparency verpflichten. Ein Beitrag zum Schutz der Nutzer vor Zertifikatsmissbrauch.

 

Transparenz binnen eines Jahres

Laut Google Anküngigung sollen die Zertifizierungsstellen (CAs) auf Certificate Transparency verpflichtet werden. Wie heise.de unter Verweis auf den Plan des Google-Entwicklers Ryan Sleevi berichtete, soll Chrome Zertifikate, die ab Oktober 2017 ausgestellt werden und für die keine Certificate-Transparency-Logs vorliegen, als nicht mehr vertrauenswürdig einstufen. Um Probleme beim Übergang zu den neuen Regeln zu vermeiden, will Google mit dem CA/Browser Forum und allen interessierten CAs zusammenarbeiten.

Was bedeutet Certificate Transparency?

Certificate Transparency, bei der IETF als RFC 6962 geführt, ist ein Prozess, der öffentliche, kryptografisch gesicherte Logs und Monitoring-Software vereint, um regelwidrig ausgestellte SSL-Zertifikate aufzuspüren und zu blockieren. Das soll sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden. In den Logs verewigen die CAs alle ihre Zertifizierungsaktivitäten so, dass sich diese öffentlichen Aufzeichnungen im Nachhinein nicht mehr ändern lassen.

 

Google will Nutzer schützen

Mittels Certificate Transparency sollen falsche und fehlerhafte Zertifikate oder auch vorsätzlicher Missbrauch durch Dritte verhindert werden. So sollen zum Beispiel Zertifikate für die Google-Domain, die gültig sind, weil sie von einer vertrauenswürdigen CA korrekt unterschrieben wurden, aber bei den CAs nicht ordnungsgemäß in Certificate-Transparency-Logs geführt werden, ab Oktober 2017 nicht anerkannt werden. Damit will Google seine Nutzer vor Phishing- und Spionage-Angriffen schützen, bei denen sich die Angreifer legitime Zertifikate erschlichen haben.

Derzeit ist es immer noch möglich, dass Angreifer Zertifikate erschleichen und dem Opfer so eine SSL/TLS-gesicherte Verbindung vortäuschen. Das geht aber nur wenn die CA nicht genau überprüft ob die Domain tatsächlich einem Antragsteller gehört.

 

Weiterführende Links:

Über die Hälfte der sind Top-Domains nicht vor Spoofing gefeit

Achtung: Abzocke mit Domain-Rechnung!

Let's Encrypt bringt Gratis – SSL – Zertifikate für alle

Let’s-Encrypt stattet Word Press mit SSL-Zertifikaten aus

heise.de: Google Chrome: Zertifizierungsstellen werden zu Certificate Transparency verpflichet

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Verschlüsselung & Datensicherheit

Cybersicherheit in 2025: Stärkere Regulierung und Fokus auf robuste Authentifizierung

Die Cyberbedrohungen nehmen stetig zu und werden immer ausgefeilter. Als Reaktion darauf werden Regierungen weltweit strengere Vorschriften zur Cybersicherheit einführen.

Verschlüsselung & Datensicherheit

Phishing-Kampagne erhebliche Bedrohung

Die Phishing-Kampagne CopyRh(ight)adamantys stellt eine erhebliche Bedrohung für Unternehmen weltweit dar. Cyberkriminelle nutzen hier eine hochgradig automatisierte Methode, um an sensible Daten zu gelangen. Ihre Strategie basiert auf dem Versenden massenhaft personalisierter E-Mails, in denen sie Unternehmen fälschlicherweise Urheberrechtsverletzungen vorwerfen.

Verschlüsselung & Datensicherheit

Veränderung der Cyberbedrohungslandschaft

Durch rasante Fortschritte in der Technologie, insbesondere im Bereich der künstlichen Intelligenz und des Quantencomputing, erleben wir eine dramatische Veränderung der Cyberbedrohungslandschaft. Cyberkriminelle nutzen diese Entwicklungen schamlos aus, um immer raffiniertere Angriffe zu starten.

Verschlüsselung & Datensicherheit

G DATA Index

Deutsche unterschätzen die Gefahr von Cyberangriffen zunehmend. Trotz der steigenden Zahl von Cyberattacken weltweit und in Deutschland fühlen sich die Menschen immer weniger bedroht. Dieses wachsende Sicherheitsgefühl steht in krassem Gegensatz zur tatsächlichen Bedrohungslage.

oben