deepagopi2011 - Fotolia

F

Kann Googles Certificate Transparency den Zertifikatsmissbrauch verhindern?

Google Certificate Transparency sammelt, welche Zertifikate von CAs ausgegeben werden. Wir zeigen, wie dieses Tool die Sicherheit verbessern kann.

Google versucht mit zahlreichen Methoden die Zertifikatssicherheit zu verbessern. Eins dieser Werkzeuge ist Certificate Transparency, ein Log Viewer und ein spezielles Log für wenig vertrauenswürdige Zertifizierungsstellen (Certificate Authorities, CA). Wie funktionieren diese Erweiterungen? Und wie können Unternehmen davon profitieren?

Sichere Kommunikation über das Internet verlässt sich größtenteils auf digitale Zertifikate, die Authentifizierung und Verschlüsselung bereitstellen. Zertifikate ermöglichen es Nutzern, sicherzustellen, dass der kontaktierte Server tatsächlich der ist, der kontaktiert wurde, zudem stellen sie die notwendige Verschlüsselung bereit. Das verhindert, dass sich Angreifer als eine Seite ausgeben können oder die Kommunikation zwischen Nutzern und Servern mitschneiden können.

Daher ist es unabdingbar, dass die Zertifikate gültig sind und korrekt ausgegeben wurden. Über die letzten Jahre wurde das Vertrauen in Zertifikate und die ausgebenden Stellen, sogenannte Certificate Authorities oder CAs, mehrfach erschüttert. Fehler bei der Ausgabe von Zertifikaten haben es Hackern ermöglicht, Zertifikate zu fälschen und damit weitreichende Attacken auszuführen. Dazu gehörten etwa das Spoofen von Webseiten, das Imitieren von Servern und Man-in-the-Middle-Attacken.

Google und andere Organisationen wie Venafi TrustNet haben verschiedene Initiativen gestartet, um den Ausgabeprozess für Zertifikate abzusichern. Gestohlene und gefälschte Zertifikate sollen so einfacher zu entdecken sein. Das Certificate Transparency Projekt von Google stellt ein offenes Framework zur Verfügung, mit dem sich HTTPS-Zertifikate überwachen und prüfen lassen. Certificate Transparency (CT) ist ein experimentelles Protokoll, das ausgegebene Zertifikate einer CA öffentlich speichert – wenn die CA entsprechend am Projekt teilnimmt. Langfristig sollen Browser alle Zertifikate abweisen, die nicht in einem öffentlichen CT-Verzeichnis auftauchen.

Falsche Zertifikate erkennen

Der Dienst zur Verzeichnisrecherche, Teil der Certificate Transparency, bietet einen einfachen Weg, die digitalen Zertifikate, die für einen Host-Namen ausgegeben wurden, zu finden und einzusehen – solange sie bereits in ein öffentliches CT Log übergeben wurden. Die webbasierte Applikation macht es Domain-Admins einfach, zu sehen, ob ein Zertifikat für eine Domain oder eine Subdomain fehlerhaft ausgegeben wurde. Nutzer können zudem sehen, welche CA ein Zertifikat für eine bestimmte Domäne ausgegeben hat. Zudem hat Google eine weitere CT eingeführt, die Root-Zertifikate aufzeigt, denen Browser in der Vergangenheit – aber nicht aktuell – vertrauten. Laut Google war es bislang schwer, all diese Zertifikate zu finden. Das neue Verzeichnis soll hier einen einheitlichen Ansatz liefern.

Indem sie die Ausgabe und Existenz der SSL-Zertifikate für jedermann überprüfbar machen, erschweren sie es den CAs, ein SSL-Zertifikat für eine Domain auszugeben, ohne dass der Domainbesitzer etwas davon mitbekommt. In 2014 konnte Google durch CT Logs herausfinden, dass für die Domains google.com und www.google.com ein Extended Validation Pre-Zertifikat ausgegeben wurde. Das Problem: Es stammte von Thawte (einer Symantec-Tochter) und wurde niemals von Google angefordert oder autorisiert.

Der Erfolg der Certificate Transparency hängt natürlich davon ab, dass die Certificate Authorities, die von ihnen ausgegebenen Zertifikate in ein CT-Log übertragen. Einige CAs unterstützen den Google-Ansatz bereits, etwa GlobalSign oder DigiCert. Bislang wurden 54 Millionen Einträge erstellt und an ein CT-Verzeichnis von Google übertragen. Domain-Admins sollten regelmäßig die Einträge in den CT-Listen überprüfen und sicherstellen, dass für die Domains unter ihrer Verwaltung keine falschen oder bösartigen Zertifikate ausgestellt wurden. Die frühe Erkennung von falsch ausgestellten oder bösartigen Zertifikaten kann ein Hinweis darauf sein, das Angreifer es aufs Unternehmen abgesehen haben und die Zertifikate möglicherweise nutzen werden, um eine bekannte Website zu imitieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was bedeuten kostenloser Zertifikate für Sicherheitsverantwortliche?

Zertifikate und Schlüssel: Warum Unternehmen neue Schutzmaßnahmen brauchen.

Die Bedeutung von Schlüsseln und Zertifikaten für die Internetsicherheit.

Best Practices: Wie Sie sich gegen Man-in-the-Middle-Angriffe (MitM) verteidigen.

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close