![\"Chrome](\"https:\/\/www.dmsolutions.de\/blog\/wp-content\/uploads\/2018\/05\/Chrome-68_-Certificate-Transparency-wird-verbindlich.png\")
<\/p>\n<\/p>\n
Mit dem Projekt “Certificate Transparency” will Google die Erkennung von gef\u00e4lschten und irrt\u00fcmlich ausgestellten SSL-Zertifikaten verbessern. Nun macht der Suchmaschinenbetreiber die Zertifikatstransparenz zur Pflicht. Ab Version 68 zeigt Chrome bei Zertifikaten, die nicht den Regeln von Certificate Transparency entsprechen, einen ganzseitigen Warnhinweis. Dies gilt f\u00fcr alle Zertifikate, die nach dem 30. April 2018 ausgestellt wurden.<\/p>\n
In den letzten Jahren kam es bei Zertifizierungsstellen wiederholt zu ernsthaften Pannen. So stellte Symantec versehentlich Zertifikate ohne Zustimmung des Domaininhabers aus. Die t\u00fcrkische Zertifizierungsstelle T\u00fcrktrust vergab durch einen Irrtum Sub-CA-Zertifikate, mit deren Hilfe unter anderem falsche Google-Zertifikate erstellt wurden. Und DigiNotar, ein niederl\u00e4ndischer Zertifikatsanbieter, brachte nach einem Hackerangriff \u00fcber 500 gef\u00e4lschte Zertifikate in Umlauf, die dazu verwendet wurden, iranische B\u00fcrger auszusp\u00e4hen.<\/p>\n
Der DigiNotar-Vorfall brachte Google zur Einsicht, dass bei der Zertifikatsvergabe mehr Transparenz erforderlich sei: S\u00e4mtliche SSL-Zertifikate sollten in \u00f6ffentlich zug\u00e4nglichen Datenbanken (Logs) verzeichnet werden. Mit “Certificate Transparency” erarbeitete der Suchmaschinenbetreiber einen Open-Source-Standard f\u00fcr ein solches Log-System.
\nCertificate Transparency soll f\u00e4lschungssicher sein. Die einzelnen Log-Eintr\u00e4ge sind kryptografisch gesch\u00fctzt und lassen sich nicht manipulieren. F\u00fcr die Eintragung ihrer Zertifikate sind in erster Linie die Zertifikatsherausgeber verantwortlich. Allerdings kann jeder Internetnutzer ein Zertifikat in einem Log registrieren. Ebenso kann jeder die Logs durchsuchen. Diese Transparenz erleichtert die Entdeckung missbr\u00e4uchlich ausgestellter Zertifikate.
\n2013 nahm Google die ersten beiden Log-Server in Betrieb. Andere Anbieter folgten. Zwei Jahre sp\u00e4ter begann der Suchmaschinenbetreiber, Druck auf die Zertifikatsherausgeber auszu\u00fcben. Der konzerneigene Browser Chrome akzeptierte Extended-Validation-Zertifikate nur noch, wenn sie auf zwei verschiedenen Logs eingetragen waren.<\/p>\n
Nun geht Google einen Schritt weiter. Ab Chrome 68 m\u00fcssen alle Zertifikate – auch Domain- und Organization-Validated-Zertifikate – in zwei voneinander unabh\u00e4ngigen Logs eintragen sein. Andernfalls zeigt der Browser statt der aufgerufenen Webseite einen ganzseitigen Warnhinweis. F\u00fcr Webseitenbetreiber ist die \u00c4nderung wichtig, hat Chrome in Deutschland doch einen Marktanteil von fast 40 Prozent. Weltweit surft gar mehr als die H\u00e4lfte aller Nutzer mit dem Google-Browser.
\nZur Panik besteht indes kein Grund. Die meisten Zertifizierungsstellen halten sich mittlerweile an die Regeln von Certificate Transparency. Zudem warnt Chrome lediglich bei neuen Zertifikaten. Zertifikate, die vor dem 30. April 2018 ausgestellt wurden, sind nicht betroffen. Mehr zu bef\u00fcrchten haben Seitenbetreiber, die noch immer auf HTTPS verzichten. Mit dem Update auf Version 68 kennzeichnet Chrome unverschl\u00fcsselte Seiten n\u00e4mlich als “nicht sicher”.<\/p>\n