Anzeige

Apple

Quelle: Champhei - Shutterstock.com

Apples Certificate Transparency-Richtlinie war bislang der von Googles Chrome-Browser recht ähnlich, jetzt allerdings gibt es Änderungen. Die neuen Regeln sind für SSL-Zertifikate gültig, die nach dem 21. April 2021 ausgestellt wurden.

Die IT-Sicherheitsexperten der PSW GROUP informieren, welche Änderungen das sind und was es mit Certificate Transparency im Allgemeinen auf sich hat.

„Vereinfacht gesagt, ist Certificate Transparency ein Mechanismus, mit dem ausgestellte SSL- und TLS-Zertifikate über Sammelpunkte öffentlich einsehbar sind. Zweck des Ganzen ist, die Arbeit der Zertifizierungsstellen transparent und überprüfbar zu machen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Die IT-Sicherheitsexpertin erklärt: „Certificate Transparency, kurz CT genannt, stellt eine Art öffentliches Log-Buch dar, in dem ausgestellte Zertifikate vermerkt werden. In gewisser Weise ähnelt dieses Log-Buch einer Blockchain: Die Liste der Datensätze wird kontinuierlich erweitert, wobei die Einträge kryptografisch so gesichert sind, dass sie sich im Nachhinein nicht mehr ändern lassen. Browser und andere Software können SSL- beziehungsweise TLS-Zertifikate mittels CT prüfen.“

Tatsächlich reichen die Anfänge von Certificate Transparency in das Jahr 2011 zurück: Seinerzeit wurden DigiNotar und weitere Zertifizierungsstellen angegriffen. Diese Attacken zeigten die Schwachstellen des SSL-/TLS-Zertifikate-Ökosystems auf – die mangelnde Transparenz in der Art und Weise, wie CAs beim Ausstellen der Zertifikate vorgingen, sorgte für ein hohes Risiko in der Public Key-Infrastruktur (PKI). Um dieses sicherheitsrelevante Ökosystem schützen zu können, ging Google im Mai 2018 mit Certificate Transparency an den Start. Im Oktober desselben Jahres schloss sich auch Apple dieser Initiative an.

Seit 2018 erzwingt Googles Chrome-Browser die Veröffentlichung neu ausgestellter Zertifikate der öffentlichen PKI in CT-Logs. Beim Verbindungsaufbau via TLS wird das Vorhandensein von Signed Certificate Timestamps (SCT) geprüft. Dabei handelt es sich um Artefakte von der Zertifikatsveröffentlichung, die kryptografisch gesichert werden. Kann Chrome diese nicht prüfen, so klassifiziert der Browser die Website als unsicher. Apple beteiligt sich seit 2018 an Certificate Transparency. Bislang glichen die Apple-eigenen CT-Richtlinien sehr den Chrome-CT-Richtlinien. Im April 2021 aktualisierte Apple jedoch seine CT-Policy, trennte sich von einigen Regeln und definierte neue, um – nach Aussagen von Apple – die Sicherheit zu steigern.

Patrycja Schrenk fasst die neuen Regeln zusammen: „Apple möchte mehr Vielfalt für mehr Sicherheit und fordert nun Signed Certificate Timestamps von verschiedenen Stellen. Für Zertifikate mit einer Lebensdauer von mehr als 180 Tagen ist eine zusätzliche Signed Certificate Timestamp notwendig, um für mehr Sicherheit zu sorgen. Um sicherzustellen, dass die Teilnehmenden am Certificate Transparency-Ökosystem bei der Kalkulation der erwarteten SCT-Anzahl für bestimmte Zertifikate zu denselben Ergebnissen kommen, wurde die Richtlinie außerdem um präzisere Einheiten aktualisiert. Statt wie bisher Monate zu verwenden, sollen nun Tage angegeben werden.“ Geräteadministratoren erhalten dank neuer Payload zudem die Möglichkeit, individuelle CT-Anforderungen für interne Domains sowie Server bei Apple-Devices einzurichten.

Immerhin: Inhaber von SSL-Zertifikaten müssen trotz Apples neuer Certificate Transparency Policy nichts weiter beachten oder tun, sondern können ihre Zertifikate wie bislang auch handhaben. Um den Rest kümmern sich die Zertifizierungsstellen.

Patrycja Schrenk, Geschäftsführerin
Patrycja Schrenk
Geschäftsführerin, PSW GROUP

Artikel zu diesem Thema

Blockchain
Jul 07, 2021

Deutsche Wirtschaft kommt bei der Blockchain nicht voran

Eine Mehrheit der Unternehmen in Deutschland hält Blockchain für eine wichtige…
Google Chrome
Jun 25, 2021

Gepatchte Schwachstelle in Google Chrome zeigt potenzielle Gefahr

Die offizielle Ankündigung von Google Mitte Juni verrät nur wenige Details und ist…

Weitere Artikel

Christine Regitz zur Präsidentin der Gesellschaft für Informatik gewählt

Ab 2022 wird Christine Regitz (SAP SE) als erste Präsidentin in der mehr als 50-jährigen Geschichte der Gesellschaft für Informatik e.V. (GI) für die Mitglieder der größten Informatik-Fachgesellschaft im deutschsprachigen Raum sprechen.
Smartphone Kalender

Termine: Deutsche setzen 2022 auf Smartphone und Papier

Viele Deutsche werden ihre Termine 2022 zweigleisig planen. Ein Drittel nutzt sowohl das Smartphone als auch den klassischen Papierkalender. Je ein Viertel lehnt die doppelte Buchführung ab und entscheidet sich für eine der beiden Varianten.
Internet Schnecke

Lahmes Internet? Bundesnetzagentur legt Regeln für Minderungsrecht fest

Die Bundesnetzagentur hat Regeln festgelegt, auf deren Basis Verbraucher bei schlechtem Festnetz-Internet ihre Monatszahlungen kürzen dürfen.
Hacker

Jeder zweite Deutsche fürchtet sich vor Identitätsdiebstahl

Laut des Unisys Security Index 2021 fürchtet sich knapp jeder zweite Deutsche vor Identitätsdiebstahl (47 Prozent). Internetviren und Hackerangriffe rufen bei 41 Prozent der Befragten ebenfalls Sicherheitsbedenken hervor.
Corona Phishing

Cyberkriminelle nutzen Omikron-Variante als Phishing-Köder

Die Sicherheitsexperten von Proofpoint haben erneut eine Zunahme von digitalen Attacken via E-Mail festgestellt, bei denen Cyberkriminelle neueste Entwicklungen rund um das Corona-Virus als thematische Köder für digitale Angriffe verwenden, darunter…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.