Google setzt Symantec unter Druck um Certificate Transparency zu unterstützen, anschließend Symantec Zertifikate für fremde Domains ausgestellt hat.
Setze Symantec die Vorgaben nicht um, wolle man Chrome- und Android-Nutzern beim Antreffen von Symantec-Zertifikaten Fehlermeldungen anzeigen oder diese eventuell überhaupt nicht weiterhin akzeptieren. Diese offene Drohung wird vor allem Zertifikate betreffen die von Verisign ausgestellt wurden. Symantec hatte 2010 die Zertifikats-Sparte von Verisign aufgekauft.
Googles Ultimatum
Den Stein ins Rollen brachten Zertifikate die Symantec auf die Google-Domain ausgestellt hatte ? um intern Tests durchzuführen – ebenso wie man betonte. Google hatte das entdeckt und Symantec darauf hingewiesen die dann eine Untersuchung durchgeführt hatten. Jetzt hat Google allerdings entdeckt, dass Symantec (beziehungsweise Verisign) viel mehr Zertifikate für die Domains anderer Firmen ausgestellt hatte wie zuerst gedacht. Google nimmt das nun zum Anlass – Symantec zur Verwendung von Certificate Transparency zu zwingen.
Certificate Transparency ist ein von Google-initiiertes Projekt, das von dem Konzern momentan aktiv vorangetrieben wird. Es soll sichtbar machen » wenn CAs Zertifikate auf Domains ausstellen « die bereits von anderen CAs mit Zertifikaten versorgt werden.
Das ist ein inherentes Problem der SSL/TLS-Infrastruktur, da jede CA der ein Browser vertraut, Zertifikate für eine beliebige Domain ausstellen kann. So konnte Symantec ein gültiges Zertifikat für google.com ausstellen ebenfalls wenn es für diese Domain bereits ein legitimes Zertifikat von Googles eigener CA gibt. Browser hätten das Symantec-Zertifikat trotzdem anerkannt da sie in der Regel nur prüfen ob sie der ausstellenden CA vertrauen, nicht ob diese überhaupt Zertifikate für die Domain ausstellen darf.
Zertifikatspolizei
Wenn es nach Googles Wünschen geht sollen nun alle CAs alle Zertifikate die sie ausstellen in ein kryptografisch abgesichertes Log eintragen. Aus diesem Log kann man im Nachhinein nichts mehr entfernen allerdings nur Einträge hinzufügen. Wenn Firmen nun wie Google es tut diese Logs nach Zertifikaten für eigene Domains absuchen, fliegen solche missbräuchlich ausgestellten Zertifikate auf. Dies verhindert allerdings nicht – dass Browser diesen Zertifikaten weiterhin vertrauen. Ein Ansatz der in diese Richtung geht ist Certificate Pinning ? ausführlich erklärt im Artikel "Festgenagelte Zertifikate" aus c't 23/15.
Googles Chrome-Browser erzwingt Certificate Transparency bereits bei allen Extended-Validation-Zertifikaten die nach dem 1. Januar 2015 ausgestellt wurden. Nun sieht es so aus • als will Google das Fehlverhalten von Symantec dazu nutzen • auch bei herkömmlichen Zertifikaten einen weiteren Schritt in diese Richtung zu gehen.
Kommentare