IT-Security

Certificate Transparency (CT): Apple aktualisiert Zertifikatstransparenz

18. Mai 2021 von Admin PSW GROUP Blog WP

certificate-transparency-2021
© Tomasz Zajda - Adobe Stock

5
(3)

Die einst von Google initiierte Certificate Transparency-Initiative soll helfen, das SSL-/TLS-Zertifikate-Ökosystem sicherer zu machen. Apples CT-Richtlinie war bislang der von Googles Chrome-Browser recht ähnlich, jetzt allerdings gibt es Änderungen. Welche das sind und was Sie zu beachten haben, zeigen wir Ihnen in diesem Beitrag rund um die neue Certificate Policy von Apple. Darüber hinaus erläutern wir Ihnen, was es mit der Certificate Transparency (CT) auf sich hat und wie diese sich in den vergangenen Jahren entwickelt hat.

Certificate Transparency (CT): Sicheres Web vorantreiben

Die Anfänge von Certificate Transparency gehen zurück bis ins Jahr 2011: Seinerzeit wurden DigiNotar und weitere Zertifizierungsstellen (Certificate Authorities, CA) angegriffen. Diese Attacken zeigten die Schwachstellen des SSL-/TLS-Zertifikate-Ökosystems auf – die mangelnde Transparenz in der Art und Weise, wie CAs beim Ausstellen der Zertifikate vorgehen, sorgte für ein hohes Risiko in der Public Key-Infrastruktur (PKI). Nach Jahren der Überlegungen, wie man dieses sicherheitsrelevante Ökosystem schützen könnte, war die Idee der Certificate Transparency (CT) geboren, wir berichteten. Im Mai 2018 war es dann tatsächlich soweit und Google ging mit Certificate Transparency an den Start. Im Oktober desselben Jahres schloss sich auch Apple dieser Initiative an.

Was soll Certificate Transparency ändern?

Certificate Transparency stellt eine Art öffentliches Log-Buch dar, in dem ausgestellte Zertifikate vermerkt werden. In gewisser Weise ähnelt dieses Log-Buch einer Blockchain: Die Liste der Datensätze wird kontinuierlich erweitert, wobei die Einträge kryptografisch so gesichert sind, dass sie sich im Nachhinein nicht mehr ändern lassen. Certificate Transparency hat sich mit den Jahren durchgesetzt, sodass Browser und andere Software SSL/TLS-Zertifikate mittels CT prüfen.

CT: So wird mit Certificate Transparency gearbeitet

Certificate Transparency ist ein Mechanismus, mit dem ausgestellte Zertifikate über Sammelpunkte öffentlich einsehbar sind. Damit soll die Transparenz des Web-PKI-Ökosystems erhöht werden: Durch die Öffentlichkeit wird die Arbeit der CAs transparent und überprüfbar. Die Sammelpunkte – Kernstücke des Certificate Transparency-Systems – werden als Logs bzw. CT-Logs bezeichnet.

Seit 2018 nun erzwingt der Chrome-Browser aus dem Hause Google die Veröffentlichung neu ausgestellter Zertifikate der öffentlichen PKI in CT-Logs. Beim Verbindungsaufbau via TLS wird das Vorhandensein der Signed Certificate Timestamps (SCTs) geprüft – die SCTs sind Artefakte von der Zertifikatsveröffentlichung, die kryptografisch gesichert werden. Kann Chrome nun keine SCTs prüfen, so klassifiziert der Browser die Website als unsicher. Mittlerweile gehört es fast schon zum guten PKI-Ton, sich am CT-System zu beteiligen, indem ausgestellte Zertifikate über CT-Logs verfügbar sind.

Apple mit neuer Certificate Transparency Policy

Apple beteiligt sich seit 2018 an Certificate Transparency und bislang waren die Apple-eigenen CT-Richtlinien sehr an den Chrome-CT-Richtlinien angepasst. Im April 2021 aktualisierte Apple jedoch die CT-Policy: Man möchte sich von einigen bisherigen Regeln trennen und neue eigenständig definieren, um – nach Aussagen von Apple – die Sicherheit zu steigern. Neu sind diese Punkte:

  • Diversität: Apple möchte mehr Vielfalt für mehr Sicherheit und fordert nun SCTs von verschiedenen Stellen.
  • Zusätzliche SCT: Für Zertifikate mit einer Lebensdauer von mehr als 180 Tagen (ca. 6 Monate) ist eine zusätzliche SCT notwendig. Bei einer maximalen Zertifikatslaufzeit von derzeit etwas über einem Jahr (wir berichteten) sorgen laut Apple zusätzliche SCTs für mehr Sicherheit.
  • Präzisere Einheiten: Um sicherzustellen, dass die Teilnehmenden am Certificate Transparency-Ökosystem beim Kalkulieren der erwarteten SCT-Anzahl für bestimmte Zertifikate zu denselben Ergebnissen kommen, wurde die Richtlinie präzisiert: Anstelle wie bisher Monate zu verwenden, sollen nun Tage angegeben werden.

Geräteadministratoren erhalten dank neuer Payload zudem die Möglichkeit, individuelle CT-Anforderungen für interne Domains sowie Server bei Apple-Devices einzurichten. Alle Änderungen sind für Zertifikate gültig, die nach dem 21. April 2021 ausgestellt wurden. Die jetzt gültige Fassung der Certificate Transparency Policy finden Sie auf Apples Website.

Neue Certificate Transparency Policy: Was gibt’s zu beachten?

Nun stellen sich sicherlich einige Lesende die Frage, was es nun bei Ihren Zertifikaten zu beachten gibt. Darauf gibt es eine erleichternd einfache Antwort: Nichts. Als Kundin oder Kunde handhaben Sie Ihre Zertifikate einfach wie bislang, Ihre CA kümmert sich um den Rest.

 

 

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu