Kommentar

Für ein sicheres Web: Apple aktualisiert Zertifikatstransparenz

Quelle: Champhei - Shutterstock.com

Apples Certificate Transparency-Richtlinie war bislang der von Googles Chrome-Browser recht ähnlich, jetzt allerdings gibt es Änderungen. Die neuen Regeln sind für SSL-Zertifikate gültig, die nach dem 21. April 2021 ausgestellt wurden.

Die IT-Sicherheitsexperten der PSW GROUP informieren, welche Änderungen das sind und was es mit Certificate Transparency im Allgemeinen auf sich hat.

Anzeige

„Vereinfacht gesagt, ist Certificate Transparency ein Mechanismus, mit dem ausgestellte SSL- und TLS-Zertifikate über Sammelpunkte öffentlich einsehbar sind. Zweck des Ganzen ist, die Arbeit der Zertifizierungsstellen transparent und überprüfbar zu machen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Die IT-Sicherheitsexpertin erklärt: „Certificate Transparency, kurz CT genannt, stellt eine Art öffentliches Log-Buch dar, in dem ausgestellte Zertifikate vermerkt werden. In gewisser Weise ähnelt dieses Log-Buch einer Blockchain: Die Liste der Datensätze wird kontinuierlich erweitert, wobei die Einträge kryptografisch so gesichert sind, dass sie sich im Nachhinein nicht mehr ändern lassen. Browser und andere Software können SSL- beziehungsweise TLS-Zertifikate mittels CT prüfen.“

Tatsächlich reichen die Anfänge von Certificate Transparency in das Jahr 2011 zurück: Seinerzeit wurden DigiNotar und weitere Zertifizierungsstellen angegriffen. Diese Attacken zeigten die Schwachstellen des SSL-/TLS-Zertifikate-Ökosystems auf – die mangelnde Transparenz in der Art und Weise, wie CAs beim Ausstellen der Zertifikate vorgingen, sorgte für ein hohes Risiko in der Public Key-Infrastruktur (PKI). Um dieses sicherheitsrelevante Ökosystem schützen zu können, ging Google im Mai 2018 mit Certificate Transparency an den Start. Im Oktober desselben Jahres schloss sich auch Apple dieser Initiative an.

Seit 2018 erzwingt Googles Chrome-Browser die Veröffentlichung neu ausgestellter Zertifikate der öffentlichen PKI in CT-Logs. Beim Verbindungsaufbau via TLS wird das Vorhandensein von Signed Certificate Timestamps (SCT) geprüft. Dabei handelt es sich um Artefakte von der Zertifikatsveröffentlichung, die kryptografisch gesichert werden. Kann Chrome diese nicht prüfen, so klassifiziert der Browser die Website als unsicher. Apple beteiligt sich seit 2018 an Certificate Transparency. Bislang glichen die Apple-eigenen CT-Richtlinien sehr den Chrome-CT-Richtlinien. Im April 2021 aktualisierte Apple jedoch seine CT-Policy, trennte sich von einigen Regeln und definierte neue, um – nach Aussagen von Apple – die Sicherheit zu steigern.

Anzeige

Patrycja Schrenk fasst die neuen Regeln zusammen: „Apple möchte mehr Vielfalt für mehr Sicherheit und fordert nun Signed Certificate Timestamps von verschiedenen Stellen. Für Zertifikate mit einer Lebensdauer von mehr als 180 Tagen ist eine zusätzliche Signed Certificate Timestamp notwendig, um für mehr Sicherheit zu sorgen. Um sicherzustellen, dass die Teilnehmenden am Certificate Transparency-Ökosystem bei der Kalkulation der erwarteten SCT-Anzahl für bestimmte Zertifikate zu denselben Ergebnissen kommen, wurde die Richtlinie außerdem um präzisere Einheiten aktualisiert. Statt wie bisher Monate zu verwenden, sollen nun Tage angegeben werden.“ Geräteadministratoren erhalten dank neuer Payload zudem die Möglichkeit, individuelle CT-Anforderungen für interne Domains sowie Server bei Apple-Devices einzurichten.

Immerhin: Inhaber von SSL-Zertifikaten müssen trotz Apples neuer Certificate Transparency Policy nichts weiter beachten oder tun, sondern können ihre Zertifikate wie bislang auch handhaben. Um den Rest kümmern sich die Zertifizierungsstellen.

Patrycja

Schrenk

Geschäftsführerin

PSW GROUP

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.