Chrome 68: Certificate Transparency wird verbindlich
Mit dem Projekt “Certificate Transparency” will Google die Erkennung von gefälschten und irrtümlich ausgestellten SSL-Zertifikaten verbessern. Nun macht der Suchmaschinenbetreiber die Zertifikatstransparenz zur Pflicht. Ab Version 68 zeigt Chrome bei Zertifikaten, die nicht den Regeln von Certificate Transparency entsprechen, einen ganzseitigen Warnhinweis. Dies gilt für alle Zertifikate, die nach dem 30. April 2018 ausgestellt wurden.
In den letzten Jahren kam es bei Zertifizierungsstellen wiederholt zu ernsthaften Pannen. So stellte Symantec versehentlich Zertifikate ohne Zustimmung des Domaininhabers aus. Die türkische Zertifizierungsstelle Türktrust vergab durch einen Irrtum Sub-CA-Zertifikate, mit deren Hilfe unter anderem falsche Google-Zertifikate erstellt wurden. Und DigiNotar, ein niederländischer Zertifikatsanbieter, brachte nach einem Hackerangriff über 500 gefälschte Zertifikate in Umlauf, die dazu verwendet wurden, iranische Bürger auszuspähen.
Certificate Transparency: Schutz vor Fake-Zertifikaten
Der DigiNotar-Vorfall brachte Google zur Einsicht, dass bei der Zertifikatsvergabe mehr Transparenz erforderlich sei: Sämtliche SSL-Zertifikate sollten in öffentlich zugänglichen Datenbanken (Logs) verzeichnet werden. Mit “Certificate Transparency” erarbeitete der Suchmaschinenbetreiber einen Open-Source-Standard für ein solches Log-System.
Certificate Transparency soll fälschungssicher sein. Die einzelnen Log-Einträge sind kryptografisch geschützt und lassen sich nicht manipulieren. Für die Eintragung ihrer Zertifikate sind in erster Linie die Zertifikatsherausgeber verantwortlich. Allerdings kann jeder Internetnutzer ein Zertifikat in einem Log registrieren. Ebenso kann jeder die Logs durchsuchen. Diese Transparenz erleichtert die Entdeckung missbräuchlich ausgestellter Zertifikate.
2013 nahm Google die ersten beiden Log-Server in Betrieb. Andere Anbieter folgten. Zwei Jahre später begann der Suchmaschinenbetreiber, Druck auf die Zertifikatsherausgeber auszuüben. Der konzerneigene Browser Chrome akzeptierte Extended-Validation-Zertifikate nur noch, wenn sie auf zwei verschiedenen Logs eingetragen waren.
Certificate Transparency gilt bloß für neue Zertifikate
Nun geht Google einen Schritt weiter. Ab Chrome 68 müssen alle Zertifikate – auch Domain- und Organization-Validated-Zertifikate – in zwei voneinander unabhängigen Logs eintragen sein. Andernfalls zeigt der Browser statt der aufgerufenen Webseite einen ganzseitigen Warnhinweis. Für Webseitenbetreiber ist die Änderung wichtig, hat Chrome in Deutschland doch einen Marktanteil von fast 40 Prozent. Weltweit surft gar mehr als die Hälfte aller Nutzer mit dem Google-Browser.
Zur Panik besteht indes kein Grund. Die meisten Zertifizierungsstellen halten sich mittlerweile an die Regeln von Certificate Transparency. Zudem warnt Chrome lediglich bei neuen Zertifikaten. Zertifikate, die vor dem 30. April 2018 ausgestellt wurden, sind nicht betroffen. Mehr zu befürchten haben Seitenbetreiber, die noch immer auf HTTPS verzichten. Mit dem Update auf Version 68 kennzeichnet Chrome unverschlüsselte Seiten nämlich als “nicht sicher”.
Wer seine Webseite mit SSL absichern möchte, der findet mit unseren SSD Webhosting Paketen genau das richtige Heim für sein Webprojekt. Mit den SSD Webhosting Paketen haben Sie die Möglichkeit zu entscheiden, ob Sie das kostenlose SSL Zertifikat von Let’s Encrypt (in allen Hosting Paketen enthalten) nutzen möchten oder auf bekannte Markenqualität von GlobalSign, AlphaSSL und anderen setzen möchten. Gerne berät Sie unser Support Team, um das optimale Paket für Sie zu finden. Schreiben Sie uns einfach und sorgen Sie dafür, dass die Website-Besucher alle Inhalte Ihrer Webseite genießen können ohne von Warnhinweisen gestört zu werden.
