- Wie "Certificate Transparency" Zertifikate im Web absichert
- Transparenz hilft
- Hashbäume
- Nicht so schnell
- Fest versprochen
- Fazit
Das verschlüsselte Web hat sich glücklicherweise weit verbreitet. Wenn Sie heutzutage eine Website aufrufen, geschieht das fast sicher über HTTPS. Das garantiert nicht nur Verschlüsselung, sondern bedeutet auch, dass Ihr Browser sicherstellt, mit wem er da redet: dass also wirklich die Server von ct.de antworten, wenn Sie beispielsweise https://ct.de aufrufen.
Für diese Garantie nutzt das Web Zertifikate und Zertifizierungsstellen (certificate/certification authority, CA). Nur der ct.de-Server kann auch ein Zertifikat für ct.de vorweisen – sofern alles klappt und insbesondere die CA keine Fehler gemacht hat. Auf letzteres ist leider nicht wirklich Verlass, wie beispielsweise eine Liste von "Certificate Authority Failures" bei SSLMate dokumentiert. Ein fehlerhaft ausgestelltes Zertifikat muss schnell und öffentlich wahrnehmbar widerrufen werden. Das ist eine durchaus haarige Angelegenheit, die alles andere als perfekt funktioniert.
- Certificate-Transparency-Logs stellen eine globale Datenbank aller Zertifikate bereit.
- Das erlaubt, irreguläre Zertifikate und fehleranfällige Zertifizierungsstellen zu erkennen.
- Kaum vermeidbare Kompromisse machen das System aber ziemlich kompliziert.
Aber selbst wenn Rückrufe perfekt funktionierten, müsste der Fehler überhaupt erst einmal auffallen. Das stellt eine erhebliche Schwierigkeit dar, denn im Zertifikatssystem des Webs darf im Grunde jede CA für jede Domain Zertifikate ausstellen. Selbst wer sich also die beste, absolut makellos arbeitende CA aussucht, läuft dennoch Gefahr, dass irgendeine schäbige Bude irgendwo auf der Welt fälschlicherweise Zertifikate für die eigene Domain ausstellt.
Das war die Leseprobe unseres heise-Plus-Artikels "Wie "Certificate Transparency" Zertifikate im Web absichert". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.
English (US) ·