Anzeige

Apple

Quelle: Champhei - Shutterstock.com

Apples Certificate Transparency-Richtlinie war bislang der von Googles Chrome-Browser recht ähnlich, jetzt allerdings gibt es Änderungen. Die neuen Regeln sind für SSL-Zertifikate gültig, die nach dem 21. April 2021 ausgestellt wurden.

Die IT-Sicherheitsexperten der PSW GROUP informieren, welche Änderungen das sind und was es mit Certificate Transparency im Allgemeinen auf sich hat.

„Vereinfacht gesagt, ist Certificate Transparency ein Mechanismus, mit dem ausgestellte SSL- und TLS-Zertifikate über Sammelpunkte öffentlich einsehbar sind. Zweck des Ganzen ist, die Arbeit der Zertifizierungsstellen transparent und überprüfbar zu machen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Die IT-Sicherheitsexpertin erklärt: „Certificate Transparency, kurz CT genannt, stellt eine Art öffentliches Log-Buch dar, in dem ausgestellte Zertifikate vermerkt werden. In gewisser Weise ähnelt dieses Log-Buch einer Blockchain: Die Liste der Datensätze wird kontinuierlich erweitert, wobei die Einträge kryptografisch so gesichert sind, dass sie sich im Nachhinein nicht mehr ändern lassen. Browser und andere Software können SSL- beziehungsweise TLS-Zertifikate mittels CT prüfen.“

Tatsächlich reichen die Anfänge von Certificate Transparency in das Jahr 2011 zurück: Seinerzeit wurden DigiNotar und weitere Zertifizierungsstellen angegriffen. Diese Attacken zeigten die Schwachstellen des SSL-/TLS-Zertifikate-Ökosystems auf – die mangelnde Transparenz in der Art und Weise, wie CAs beim Ausstellen der Zertifikate vorgingen, sorgte für ein hohes Risiko in der Public Key-Infrastruktur (PKI). Um dieses sicherheitsrelevante Ökosystem schützen zu können, ging Google im Mai 2018 mit Certificate Transparency an den Start. Im Oktober desselben Jahres schloss sich auch Apple dieser Initiative an.

Seit 2018 erzwingt Googles Chrome-Browser die Veröffentlichung neu ausgestellter Zertifikate der öffentlichen PKI in CT-Logs. Beim Verbindungsaufbau via TLS wird das Vorhandensein von Signed Certificate Timestamps (SCT) geprüft. Dabei handelt es sich um Artefakte von der Zertifikatsveröffentlichung, die kryptografisch gesichert werden. Kann Chrome diese nicht prüfen, so klassifiziert der Browser die Website als unsicher. Apple beteiligt sich seit 2018 an Certificate Transparency. Bislang glichen die Apple-eigenen CT-Richtlinien sehr den Chrome-CT-Richtlinien. Im April 2021 aktualisierte Apple jedoch seine CT-Policy, trennte sich von einigen Regeln und definierte neue, um – nach Aussagen von Apple – die Sicherheit zu steigern.

Patrycja Schrenk fasst die neuen Regeln zusammen: „Apple möchte mehr Vielfalt für mehr Sicherheit und fordert nun Signed Certificate Timestamps von verschiedenen Stellen. Für Zertifikate mit einer Lebensdauer von mehr als 180 Tagen ist eine zusätzliche Signed Certificate Timestamp notwendig, um für mehr Sicherheit zu sorgen. Um sicherzustellen, dass die Teilnehmenden am Certificate Transparency-Ökosystem bei der Kalkulation der erwarteten SCT-Anzahl für bestimmte Zertifikate zu denselben Ergebnissen kommen, wurde die Richtlinie außerdem um präzisere Einheiten aktualisiert. Statt wie bisher Monate zu verwenden, sollen nun Tage angegeben werden.“ Geräteadministratoren erhalten dank neuer Payload zudem die Möglichkeit, individuelle CT-Anforderungen für interne Domains sowie Server bei Apple-Devices einzurichten.

Immerhin: Inhaber von SSL-Zertifikaten müssen trotz Apples neuer Certificate Transparency Policy nichts weiter beachten oder tun, sondern können ihre Zertifikate wie bislang auch handhaben. Um den Rest kümmern sich die Zertifizierungsstellen.

Patrycja Schrenk, Geschäftsführerin
Patrycja Schrenk
Geschäftsführerin, PSW GROUP

Artikel zu diesem Thema

Blockchain
Jul 07, 2021

Deutsche Wirtschaft kommt bei der Blockchain nicht voran

Eine Mehrheit der Unternehmen in Deutschland hält Blockchain für eine wichtige…
Google Chrome
Jun 25, 2021

Gepatchte Schwachstelle in Google Chrome zeigt potenzielle Gefahr

Die offizielle Ankündigung von Google Mitte Juni verrät nur wenige Details und ist…

Weitere Artikel

Hacker

Hackerangriff auf Bayerische Krankenhausgesellschaft (BKG)

Die Bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyber-Kriminellen geworden. Der E-Mail-Server der BKG sei am Montag mit einer Schadsoftware infiziert worden, erklärte ein Sprecher am Mittwoch.
KI

Omnipräsent: Viele arbeiten mit KI, ohne es zu wissen

Jeder fünfte Erwerbstätige arbeitet bereits mit Künstlicher Intelligenz (KI), ohne sich dessen bewusst zu sein. Das zeigt eine Studie des Deutschen Instituts für Wirtschaftsforschung (DIW Berlin) und der Technischen Universität Berlin (TU Berlin).
Twitch

Twitch bringt Gruppen-Streams für 32 User – per FaceTime

Das Live-Streaming-Videoportal Twitch hat sein Angebot um ein neues Feature erweitert, das ab sofort Gruppen-Streams via FaceTime mit bis zu 32 Personen erlaubt.
Data Governance Act

Data Governance Act – „notwendiger Schwung“ für Datenwirtschaft

Der Digitalverband Bitkom hat den zügigen Abschluss der Trilog-Beratungen über den Data Governance Act gelobt und sieht in ihm eine große Chance, das Teilen von Daten in der EU zu fördern.
acebook Libra

«Vater» von Facebooks Digitalwährung geht

Der frühere Paypal-Chef David Marcus, der die treibende Kraft hinter der von Facebook entwickelten Digitalwährung war, verlässt den Konzern. Er gebe dem Drang nach, wieder als Unternehmer aktiv sein zu wollen, schrieb Marcus am Dienstag bei Twitter.
EU Stift

Neues Datengesetz: EU-Parlament und Mitgliedstaaten einigen sich

Die rasant steigenden Datenmengen von Unternehmen und Behörden sollen künftig besser zum Vorteil von Wirtschaft und Gesellschaft genutzt werden können. Vertreter des Rates der Mitgliedstaaten einigten sich am Dienstagabend mit einem Verhandlungsteam des…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.