GlobalSign Blog

10 Apr 2018

Was Sie im 1. Quartal verpasst haben - GlobalSigns SSL-Zertifikat-Update

Die ersten drei Monate sind nur so verflogen und die Branche für Cybersicherheit hat in dieser Zeit viele Neuigkeiten erlebt. Deshalb möchte ich das erste Quartal mit einem kleinen Update zu den größten SSL-Änderungen beenden.

Ich hoffe, dass durch die Weitergabe dieser Updates an unsere Kunden und Leser, das Wissen über die aktuellen Zertifikatpraktiken gestärkt und die Sinne geschärft werden, wenn es um den Erwerb und die Verwaltung digitaler Zertifikate geht.

Schwachstelle bei der ACME TLS-SNI-01 Validierungsmethode

Am 9. Januar 2018 veröffentlichte Let's Encrypt einen Bericht über eine Schwachstelle, die sie bei der Validierungsmethode ACME TLS-SNI-01 entdeckt hatten. Durch diese konnten Benutzer von Shared Hosting oder CDNs Zertifikate für Domains erhalten, die sie nicht kontrollieren, wenn sich die Domain zur gleichen IP-Adresse auflöst wie eine Domain, die der Angreifer kontrolliert.

Let's Encrypt hat die Funktion schnell deaktiviert, zunächst als temporäre Maßnahme. Aber nachdem sie feststellten, dass viele andere Hosting-Softwares betroffen sein könnten, entschlossen sie sich dazu, sie für die meisten neuen Ausstellungen dauerhaft zu deaktivieren.

Wir haben auch eine ähnliche Domain Validation Methode wie TLS-SNI-01 verwendet. Als die ACME-Schwachstelle bekannt wurde, haben wir diese auch sofort deaktiviert.

Am Ende sind sowohl Methode 9 (Domain Validation mit einem Testzertifikat) als auch 10 (TLS-SNI-01) nicht mehr zulässig, solange keine von Google genehmigten Abhilfemaßnahmen getroffen wurden. Die Standardgruppen arbeiten fleißig an TLS-ALPN-01, das TLS-SNI-01 ersetzen soll.

Domain Validation Methoden 1 und 5 entfernt

Google hat bereits im April 2018 einige manuelle Domain Validation Methoden überprüft und Empfehlungen zu deren Entfernung schon mit Stichtag April 2018 in der Community gegeben. Sie glauben, dass diese manuellen Methoden, so wie sie waren, schwach und fehleranfällig waren.

Ballot 218 wurde zur Entfernung der Validierungsmethoden 1 und 5 mit Stichtag August 2018 im CA/B Forum vorgestellt. Dies gab CAs genügend Zeit, diese Methoden aus ihren Validierungspraktiken zu entfernen und alle Domains mit einer anderen Methode erneut zu validieren. Es gab eine große Diskussion auf dem Validation Summit am 6. März, dem ersten Tag des persönlichen Treffens des CA/Browser Forums in Reston, Virginia, darüber, wie manuelle Domain Validation Methoden mit ausreichender Sicherheit zu definieren sind. Wir werden demnächst evtl. die Einführung einer verbesserten manuellen Methode erleben, da einige CAs stark auf diese Methoden gebaut haben.

Das Ende der Drei-Jahres-Zertifikate

Ab 1. März 2018 reduzierten die CA/B Forum Baseline Requirements die maximale Gültigkeitsdauer für SSL/TLS-Zertifikate auf 825 Tage (oder 27 Monate). Ab dem 26. Februar 2018 hat GlobalSign gemäß dieser neuen Richtlinie die Ausstellung öffentlich vertrauenswürdiger Drei-Jahres-SSL-Zertifikate eingestellt.

Wenn Sie längere Gültigkeitsdauern benötigen, bietet GlobalSign IntranetSSL an (nicht öffentlich vertrauenswürdige SSL-Zertifikate), die mit Gültigkeitsdauern von bis zu 5 Jahren ausgestellt werden können.

Lesen Sie unseren früheren Blogpost, um mehr darüber zu erfahren, warum die Gültigkeitsdauern verkürzt wurden.

Certificate Transparency (CT) wird ab April Pflicht

Google ordnet Einhaltung ihrer CT-Richtlinie zum 30. April an. Im Interesse von Schutz und Sicherheit im Internet ordnen sie die öffentliche Protokollierung von SSL-Zertifikaten in Certificate Transparency -Protokollen an. Jedes SSL-Zertifikat, das nach dem 30. April 2018 ausgestellt wird, muss die Google - CT-Richtlinie einhalten, da es sonst nicht von Chrome vertraut wird. Alle Zertifikate, die vor diesem Datum ausgestellt wurden, werden als vertrauenswürdig eingestuft.

GlobalSign hat seine gesamte SSL-Produktlinie aktualisiert, sodass sie mit der Google CT-Richtlinie konform ist. EV-Zertifikate sind seit dem 1. Januar 2015, DV und AlphaSSL seit dem 30. August 2016 und OV seit dem 6. November 2017 konform.

Um mehr über CT zu erfahren, schauen Sie sich unseren Übersichts-Post an.

Letzte Chance für ein Update von Symantec-Zertifikaten

Einige wichtige Termine im Google-Plan, Symantec-Zertifikaten (einschließlich Thawte, GeoTrust und Verisign) zu misstrauen, kommen schnell näher. Es gibt zwei besondere Fristen, die Sie auch beachten sollten.

  • Zertifikaten der Marke Symantec, die vor dem 1. Juni 2016 ausgestellt wurden, wird ab Chrome 66 (geplant für April 2018), und in Firefox 60 (geplant für 9. Mai 2018) nicht mehr vertraut.
  • ALLE Zertifikate der Marke Symantec, die vor dem 1. Dezember 2017 ausgestellt wurden, funktionieren nicht mehr in Chrome 70, das für Oktober 2018 geplant ist.

Laut TechTarget werden in der ersten Version nicht weniger als 11.000 Zertifikate nicht mehr vertrauenswürdig sein, während die Version vom Oktober unglaubliche 91.000 Zertifikate nicht vertrauenswürdig machen könnte. Wenn es sich anfühlt, als wenn die Deadlines bedrohlich nah kämen, liegt es wahrscheinlich daran, dass sie es sind. Aber keine Angst: Wenn Sie sich Sorgen über die Anzahl der Symantec-Zertifikate machen, die Sie haben, probieren Sie unser Certificate Inventory Tool, um alle Zertifikate zu finden, die Sie besitzen und wechseln Sie sie bei GlobalSign ein.

Wir bieten eine einfache Möglichkeit, Ihren SSL-Anbieter zu wechseln, mit einem Rabatt von 30%. Hier sind ein paar Gründe, um zu wechseln.

TLS 1.3 kommt!

Am 6. Dezember 2017 wurde Google Chrome 63 veröffentlicht, das TLS 1.3 für Gmail ermöglichte. Dies ist die erste stabile Version, in der Chrome TLS 1.3 unterstützt, seit sie in einer Betaversion damit experimentiert haben.

Die IETF- und Sicherheits-Community hat intensiv daran gearbeitet, inkrementelle Versionen von TLS 1.3 zu dokumentieren und zu testen, die seit 2014 sicher und abwärtskompatibel sind. Die Liste der Änderungen pro Release wird immer kleiner, da die RFC bald formalisiert werden und wir freuen uns auf die Verbesserungen in TLS 1.3!

Trustico und DigiCert widerrufen mehr als 20.000 Zertifikate

Wenn Sie die News noch nicht gehört haben: Ende dieses Quartals hat der CEO von Trustico über 20.000 private Schlüssel von Kunden in einer ZIP-Datei an DigiCert geschickt, um sie widerrufen zu lassen. Es ist nicht klar, warum er dies gemacht hat. Einige vermuten, dass es ein Versuch war, die DigiCert-Root zu verlassen und zu Comodo zu wechseln. Aber dies hätte ohne Widerruf geschehen können.

Diese Geschichte hat nur die Notwendigkeit von mehr Kontrolle und Einsicht in die Aktivitäten von CA-Partnern deutlich gemacht. Das Compliance-Team von GlobalSign hat umgehend eine Umfrage an alle Partner erstellt und versandt, um mehr über ihre Praktiken in Bezug auf private Schlüssel zu erfahren. Wir werden uns unsere Partnerverträge und Schulungsprogramme genau anschauen, um Partner besser über Sicherheitspraktiken aufzuklären.

Dies ist ein wichtiger nächster Schritt bei PKI. Wenn Partner die von uns festgelegten strengen Standards nicht einhalten können, sollten sie keine SSL-Zertifikate weiterverkaufen dürfen.

Was gibt es im nächsten Quartal?

2018 ist bereits toll angelaufen und ich erwarte, dass wir nächstes Quartal noch mehr zu berichten haben. Wir werden herausfinden, was passiert, wenn Chrome beginnt, CT zu erzwingen, und wir werden sehen, welche Auswirkungen es hat, wenn der erste Schwung Symantec-Zertifikate nicht mehr vertrauenswürdig ist. Wir sind auch sicher, dass wir einige Verbesserungen der Domain Validation-Methoden auf dem Validation Summit erleben werden.

Ich werde dann sicherlich ein weiteres Update posten. Aber wenn Sie in der Zwischenzeit irgendwelche Fragen haben, können Sie sich mit uns auf unserer Website in Verbindung setzen oder uns einen Tweet senden.

Artikel teilen