GlobalSign Blog

08 Jul 2018

Was Sie im 2. Quartal verpasst haben - GlobalSigns SSL-Zertifikat-Update

Seit unserem letzten SSL-Update im 1. Quartal wurden viele weitere Verbesserungen in der SSL/TLS-Zertifikat-Branche vorgenommen, die weiter dazu beitragen, sicherere und geschütztere Praktiken in Unternehmen zu fördern. Zwei der Top-News sind, dass alle Zertifikate jetzt in einem Certificate Transparency (CT) -Log gespeichert werden und einige Browser Änderungen an ihren Sicherheitsindikatoren vornehmen.

Certificate Transparency (CT)

Das Ziel von CT ist:

  1. es für eine CA unmöglich zu machen, ein Zertifikat auszustellen, ohne dass es für den Eigentümer dieser Domain sichtbar ist.
  2. alle Zertifikate öffentlich zu machen, damit Domaininhaber erkennen können, wenn eine Certificate Authority (CA) mit böswilliger Absicht ausstellt oder angegriffen/verletzt wurde, damit geeignete Maßnahmen ergriffen werden können; und
  3. Benutzer vor irrtümlich oder mit einer böswilligen Absicht ausgestellten Zertifikaten zu schützen.

Dies bietet volle Transparenz.

Die Herausforderung besteht darin, die Anzahl der Zertifikate zu unterstützen, die protokolliert werden müssen. Wir haben jetzt Spitzen von weit über einer Million Zertifikate pro Tag und die Zahl steigt weiter. Aufgrund der Log Anzahl und der disqualifizierten Logs besteht das Risiko, dass nicht genügend Logs vorhanden sind, die Vorzertifikate zu dem Zeitpunkt akzeptieren, zu dem die CAs sie ausstellen möchten.

Um dies zu verhindern, haben Cloudflare, Google und Digicert "shared" CT-Logs entwickelt, die beim Management von Lebenszyklus und Größe der Logs helfen. Durch Aufteilen der Logs nach Ablaufdatum kann der Log-Betreiber das Log am Ende des Jahres, für das es konfiguriert ist, auf schreibgeschützt setzen. Dies bietet eine natürliche und geplante Log-Rotation, die dafür sorgt, dass das Log eine bestimmte Lebensdauer hat, wodurch die Log-Größe reduziert wird. Es sieht so aus, als ob die Branche zukünftig auf shared Logs umstellt.

Merkle Town wurde von Cloudflare auf dem CT-Log-Ökosystem entwickelt und bietet nützliche Diagramme in einem benutzerfreundlichen Dashboard.

merkle town cloudflare certificate transparency

Der 30. April 2018 war der Stichtag für das CT-Logging aller neuen Zertifikate, wie von Chrome gefordert. Obwohl die Deadline nicht vor Chrome 68 (geplante Veröffentlichung im Juli) durchgesetzt wird, werden alle nach diesem Datum ausgestellten Zertifikate, die nicht mit Signed Certificate Timestamps (SCTs) geliefert werden, möglicherweise eine ganzseitige Warnung zeigen.

ACME Updates

Nach einer Verzögerung im März aufgrund weiterer Tests, unterstützt ACMEv2 jetzt Wildcard-Zertifikate. ACMEv2 ist nicht abwärtskompatibel. Wenn Sie also ein Wildcard-Zertifikat von Let's Encrypt erhalten, müssen Sie Ihre Clients auf ACMEv2-Unterstützung überprüfen.

Let's Encrypt hat außerdem eine Implementierung einer neuen Validierungsmethode in Betrieb gesetzt, die die anfällige TLS-SNI-basierte Methode ersetzt. Dies ist eine CA/Browser Forum BR 3.2.2.4.10-Methode, bei der ACME die Domainvalidierung mit ALPN ermöglicht.

Laut anderer News befindet sich das ACME-Protokoll in der Endphase, ein standardisiertes Internet-Protokoll zu werden.

PCI DSS Stichtag zeichnet sich ab

Ab dem 30. Juni 2018 verlangt der PCI Data Security Standard (DSS) von allen Websites, die Kreditkarten verarbeiten, SSL- und frühe TLS-Implementierungen (d. h. SSL 2.0 und 3.0, TLS 1.0) zu deaktivieren. PCI DSS legt großen Wert auf starke kryptografische Protokolle als eine Möglichkeit, Kartenzahlungsdaten und POS-Systeme zu schützen.

Obwohl die neue Anforderung die Verwendung von TLS 1.1 nicht verbietet, empfehlen wir, es ebenfalls zu deaktivieren, da es bekannte Sicherheitslücken hat. Alle sollten TLS 1.2 oder höhere Version verwenden. Weitere Informationen finden Sie in unserem aktuellen Post - Es ist Zeit, TLS 1.0 (und alle SSL-Versionen) zu deaktivieren.

Sicherheitsindikatoren von Browsern
ändern sich

Chrome

Phase 3 von Googles Plan, die Sicherheitsindikatoren für Websites mit SSL zu ändern, tritt im Juli 2018 in Kraft. Alle HTTP-Websites werden ab diesem Datum mit "Nicht sicher" gekennzeichnet.

chrome ui for http pages in version 68

Auf Mobilgeräten bleibt das Symbol (i) erhalten.

badssl http websiteQuelle: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure

Safari

Apple hat die Darstellung von EV-Zertifikaten in Safari geändert. Das neue Aussehen enthält jetzt nur den Domain-Namen für die Website anstelle des Firmennamens. Im Bild unten sehen Sie links, wie es bisher aussah, und rechts sehen Sie, wie es heute aussieht.

safari treatment of EV

Auf der linken Seite sehen Sie, wie die Benutzeroberfläche jetzt aussieht, auf der rechten Seite wie sie aussehen wird.

Sonstige Browser-Updates

TLS 1.3 Unterstützung

Am 9. Mai 2018 veröffentlichte Firefox Version 60 des Browsers, der standardmäßig Draft-23 der TLS 1.3-Spezifikation enthält. Chrome 66 hat auch Unterstützung für Draft-23 von TLS 1.3 aufgenommen. Andere wichtige Browser unterstützen TLS 1.3 immer noch nicht. Draft-28 wurde am 21. März 2018 von der IEFT genehmigt.

Nicht-Vertrauen der Zertifikate von Symantec-Root

Firefox 60 vertraut Zertifikaten nicht mehr, die vor Juni 2016 mit einer Symantec-Root ausgestellt wurden, und Chrome hat im April ein ähnliches Update in Version 66 eingeführt (und Apple wird diesen Sommer dasselbe tun). Sowohl Google als auch Mozilla planen, im Oktober 2018 Updates zu veröffentlichen, die dann allen anderen von Symantec ausgestellten Zertifikaten nicht mehr vertrauen werden. Apple plant ebenfalls ein ähnliches Update.

Laut Netcraft sind insgesamt 436.000 Symantec Zertifikate übrig, 168.000 sind bis oder bis nach dem 16. Oktober 2018 gültig und 6500 sind vor Juni 2016 ausgestellt. Apple plant auch, Symantec-Zertifikaten, die vor dem 1. Juni 2016 oder nach dem 1. Dezember 2017 ausgestellt wurden, zu misstrauen. Zertifikate, die zwischen dem 1. Juni 2016 und dem 1. Dezember 2017 ausgestellt wurden, werden als vertrauenswürdig eingestuft, wenn sie der Google CT-Richtlinie entsprechen. Vollständiges Nicht-Vertrauen folgt später.

Anzeige von Zertifikatdetails in Edge

Microsoft Edge hat angekündigt, dass sie ein neues Feature in das Windows 10-Update einbringen werden, mit dem Sie Zertifikatdetails im Browser anzeigen können - endlich!

edge certificate view

Was gibt es im nächsten Quartal?

Es laufen viele Vorbereitungen, das Nicht-Vertrauen der Symantec-Root abzuschließen. Wenn Sie also jemanden kennen, der davon betroffen sein wird, ist es jetzt an der Zeit für ihn, seine Roots zu wechseln. Erzählen Sie es überall weiter!

Nach dem nächsten Google-Update wird es interessant sein, zu sehen, wie die Verschlüsselung des Internet-Traffic die Statistiken verändert. Ich gehe davon aus, dass viele Leute das "Nicht sicher" -Zeichen sehen werden und alle CAs damit beschäftigt sein werden, sicherzustellen, dass auch die letzte Gruppe von Domain-Inhabern ihren Wechsel zu HTTPS abschließt.

Ich werde dann sicherlich ein weiteres Update posten. Aber wenn Sie in der Zwischenzeit irgendwelche Fragen haben, können Sie sich mit uns auf unserer Website in Verbindung setzen oder uns einen Tweet senden.

Artikel teilen