GlobalSign Blog

27 Nov 2014

Was ist Certificate Transparency?

Sie haben möglicherweise schon von Certificate Transparency (CT) und von der für Anfang 2015 von Google Chrome angekündigten Deadline für EV SSL-Zertifikate gehört. Dies ist der erste in einer Reihe von Artikeln dazu. In diesem wird beschrieben, was CT ist und warum sie wichtig ist.

Das CT-Projekt ist ein offenes Framework für das Überwachen und Überprüfen von SSL-Zertifikatsausstellungen. Es macht die Zertifikatsausstellung einer CA für Überprüfung und Überwachung offen, was dazu verwendet werden kann, falsche Ausstellungen zu erkennen. Transparenz wird dadurch erreicht, dass CAs Zertifikate auf öffentlich zugänglichen qualifizierten CT-Logs registrieren. Kunden können Log-Monitore erstellen, die auf Zertifikate achten, die für ihre Domains ausgestellt werden und die falsche Ausstellungen innerhalb von Minuten erkennen.

CT-Logs sind 'append only' Logs. Obwohl jedermann Zertifikate auf den Logs registrieren kann, werden sie in erster Linie von Zertifizierungsstellen verwendet, um "Vor-Zertifikate" zu registrieren.  Wenn Vor-Zertifikate auf den Logs registriert werden, gibt der Log-Betreiber einen Signed Certificate Timestamp (SCT) zurück, der nachweist, dass das Zertifikat protokolliert wurde. Dieser SCT kann von Browsern verwendet werden, um zu validieren, dass das Zertifikat protokolliert war. SCTs können über eine Vielzahl von Mechanismen an den Browser verteilt werden. Dies werden wir in einem weiteren, technisch tiefergehenden Blog besprechen.

Das Certificate Transparency Project beschreibt die 3 Hauptziele:

1. Es für eine CA unmöglich (oder zumindest sehr schwer) zu machen, ein SSL-Zertifikat für eine Domain auszustellen, ohne dass das Zertifikat für den Eigentümer dieser Domain sichtbar ist.
2. Ein offenes Überprüfungs- und Überwachungssystem bereitzustellen, mit dem alle Domain-Inhaber oder CAs feststellen können, ob Zertifikate irrtümlich oder bösartigerweise ausgestellt wurden.
3. Benutzer davor zu schützen durch Zertifikate, die irrtümlich oder bösartigerweise ausgestellt wurden, hinters Licht geführt zu werden.

GlobalSign und andere Zertifizierungsstellen bereiten sich nun auf die anstehenden Änderungen vor, die sich darauf auswirken, wie EV SSL-Zertifikate angezeigt werden.

Achten Sie auf unsere kommenden Blogs zu Certificate Transparency für mehr Informationen!

Artikel teilen

Jetzt Blog abonnieren