Certificate Transparency (CT) ist ein von Google gestartetes Projekt, mit dem verschiedene strukturelle Mängel im SSL-Zertifikatsystem behoben werden sollen. Mit CT kann jeder SSL-Zertifikate erkennen, die fälschlicherweise von einer Zertifizierungsstelle (CA) ausgestellt oder böswillig von einer ansonsten unanfechtbaren Zertifizierungsstelle erworben wurden. Browser, Zertifizierungsstellen und andere Parteien können CT (neben anderen vorhandenen Techniken) verwenden, um zu bestätigen, dass ein Zertifikat korrekt ausgestellt wurde, und so das Vertrauen zu stärken.
CT zielt darauf ab, die Ausstellung und Existenz von SSL-Zertifikaten offen und leicht verfügbar zu machen - transparent, wenn Sie so wollen.
Auf diese Weise kann CT als „CA-Watchdog“ dienen, um sicherzustellen, dass CAs wie erwartet funktionieren, da CT es für eine CA sehr schwierig macht, ein Zertifikat ohne Wissen eines Domäneninhabers auszustellen. Websitebesitzer können CT-Server abfragen, um sicherzustellen, dass böswillige Parteien kein Zertifikat für ihre Websites ausgestellt haben.
CT wurde erstellt, um die allgemeine Internetsicherheit durch die Schaffung eines offenen Rahmens für die Überwachung von SSL / zu stärken.TLS Zertifikatsystem. Diese Transparenz kann dazu beitragen, Benutzer und Websites vor falschen oder betrügerischen Zertifikaten zu schützen.
Zertifizierungsstellen veröffentlichen Zertifikate, die sie in einfachen Netzwerkdiensten ausstellen, die als * Zertifikatsprotokolle * bezeichnet werden. Zertifikatsprotokolle führen kryptografisch gesicherte, öffentlich überprüfbare und nur anhängbare Aufzeichnungen der ausgestellten Zertifikate. Jeder kann sie abfragen oder neue Informationen einreichen.
Wenn ein CT-Protokollserver ein neues Zertifikat empfängt, antwortet er im Wesentlichen mit einem Signed Certificate Timestamp (SCT). Dieses SCT wird als Nachweis für das Ausstellungsdatum verwendet, normalerweise durch Anhängen an das ausgestellte Zertifikat. (Es gibt mehr als eine Möglichkeit, SCTs bereitzustellen - dies gilt jedoch für einen ausführlicheren Artikel.)
Es ist wichtig zu beachten, dass ein Zertifikat für immer in einem Protokoll gespeichert ist. Elemente können relativ einfach zu einem Protokoll hinzugefügt werden, das Entfernen ist jedoch nicht möglich. auch für abgelaufene Zertifikate.
CT-Protokolle werden regelmäßig von unabhängigen CT-Diensten überprüft, die im CT-Design angegeben sind, nämlich Monitore (die nach verdächtigen Zertifikaten Ausschau halten) und Abschlussprüfer (die überprüfen, ob Protokolle vertrauenswürdig sind). Monitore können von Zertifizierungsstellen oder anderen Drittanbietern ausgeführt werden, während Auditoren tatsächlich in Browser integriert sind.
Weitere Informationen zur Funktionsweise der CT finden Sie hier hier.
Extended Validation (EV) -Zertifikate sind seit 2015 erforderlich, um CT zu unterstützen, als Google sie für alle diese Zertifikate auferlegte.
CT wurde zuvor auch auf einige Nicht-EV-Zertifikate angewendet. Beispielsweise mussten alle seit Juni 2016 von Symantec ausgestellten Zertifikate aufgrund von Problemen CT verwenden.
Schließlich hat Google am 30. April 2018 damit begonnen, die Zertifikatstransparenz in Chrome für alle Zertifikate, einschließlich Domain Validation (DV) und Organization Validation (OV), durchzusetzen. Seitdem müssen alle öffentlich vertrauenswürdigen Zertifikate einem SCT von einem qualifizierten CT zugeordnet werden Log. Eine Liste dieser qualifizierten Protokolle wird von Google geführt hier.
Obwohl CT insgesamt SSL / verbessern kannTLS Sicherheit und Vertrauen haben wie jede neue Technologie auch unbeabsichtigte Folgen. CT-Protokolle können von jedem angezeigt werden, auch von böswilligen Angreifern. Jeder kann diese Protokolle nach Zertifikaten durchsuchen, die wichtige mit dem Internet verbundene Domänen wie Proxyserver oder VPN-Einstiegspunkte schützen. Dadurch erhalten Sie einen Einblick in die Netzwerkstruktur anderer Organisationen.
Diese Informationen reichen normalerweise nicht aus, um die Sicherheitslage eines Unternehmens zu gefährden, können jedoch einem Angreifer eine Hebelwirkung oder einen einfacheren Angriffspfad in ein Netzwerk bieten.
Für sensible Anwendungen, bei denen die interne Netzwerkstruktur nicht offengelegt werden darf, können SSL.com-Kunden:
1.Erhalten Sie ein Wildcard-Domain-Zertifikat (z. B. "* .example.com"), sofern diese die vollständige Kontrolle über eine Domain nachweisen können, oder
2. Erwägen Sie den Kauf eines privat vertraut PKI Plan, da solche PKIs sind nicht verpflichtet, sich an CT zu halten.
Wenn Sie sich nicht sicher sind, wenden Sie sich bitte an einen Experten unter Support@SSL.com jetzt und diskutieren a PKI Plan, der Ihren Bedürfnissen entspricht.
Überhaupt nicht - als Kunde müssen Sie nichts anders machen. CT geschieht aus Sicht eines Benutzers hinter den Kulissen, und SSL.com (oder unser USERTrust-Partner) führt alle erforderlichen Schritte aus, um sicherzustellen, dass Ihr Zertifikat den CT-Standards entspricht und die erwartete Leistung erbringt.
