Chrome warnt

Photo by Jason Blackeye on Unsplash

Ab dem 1. Mai gibt Google Chrome eine ganzseitige Warnung aus, wenn eine Webseite besucht wird, deren SSL-Zertifikat nicht in einem öffentlichen Zertifikatsverzeichnis registriert ist. Für Nutzer bedeutet dies einen zusätzlichen Schutz vor Websites, deren SSL-Zertifikate möglicherweise böswillig erworben wurden, um beispielsweise legitime Websites zu fälschen, Man-in-the-Middle-Angriffe zu starten oder Spyware zu verteilen. Die Zertifizierungsstellen wurden im Vorfeld über die jetzt umgesetzte Maßnahme informiert.

Mittels SSL als kryptografischem Standard werden HTTPS-Verbindungen gesichert, sodass die Daten, die zwischen Webservern und dem Browser übertragen werden, sicher vor dem Zugriff Dritter sind. Beim Besuch einer Webseite stellt ein Authentifizierungsserver sicher, dass das von der Website verwendete SSL-Zertifikat ordnungsgemäß von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde und der Schlüssel nicht widerrufen wurde.

Neue Richtlinie

Googles neue Richtlinie für Chrome heißt Certificate Transparency, also in etwa Zertifikatstransparenz. Zertifizierungsstellen  (CAs) sind verpflichtet, ein öffentlich einsehbares Register zu führen, in dem täglich alle ausgestellten Zertifikate dieser Stelle verzeichnet werden. Wenn also eine Website ein von einer CA ausgestelltes Zertifikat besitzt, das nicht in einem dieser öffentlichen Register enthalten ist, erscheint ab sofort eine ganzseitige Warnung. Das bedeutet für den Anwender, dass das Zertifikat dieser Seite nicht Googles Richtlinien der Zertifikatstransparenz entspricht und möglicherweise unsicher ist.

Andere Browser ziehen nach

Auch andere Browserhersteller haben angekündigt, Zertifikatsmissbrauch auf ähnliche Weise zu verfolgen. Gerade mit dem Aufkommen von kostenfreien und in Sekunden erstellten Zertifikaten über die CA Let’s Encrypt steigt laut Sicherheitsexperten die Gefahr von Zertifikaten, die für kriminelle Zwecke erstellt werden. Zudem gab es in der Vergangenheit auch des Öfteren Probleme mit den CAs selbst. Fälle wie Trustico und GlobalSign liegen noch nicht weit zurück. Google sorgte wegen Unregelmäßigkeiten auch dafür, dass Symantec aus dem Geschäft mit Zertifikaten ausstieg. Hier kann Google seine Markmacht positiv einbringen, der hauseigene Browser Chrome hat immerhin rund 60 Prozent Marktanteil.

[Edit 2.5. 08:56]

Mittlerweile hat Google mitgeteilt, dass die neue Richtlinie zwar ab dem ersten Mai in Kraft ist und alle Zertifikate umfasst, die ab diesem Datum ausgestellt werden, Anwender die Warnungen allerdings erst mit der Veröffentlichung von Chrome 68 im Juli angezeigt bekommen.

 

 

Verwandte Themen

Let’s Encrypt bietet Wildcard-Zertifikate
views 24
Quelle: : HTTPS von Sean MacEntee Lizenz: CC BY 2.0   Let's Encrypt, die Certificate Authority (CA) für kostenlose TLS-Zertifikate zur Abs...
Let’s Encrypt erreicht 50 Millionen aktive Z...
views 11
Logo: Let's Encrypt Lizenz: CC BY-NC 4.0   Die Zertifizierungsstelle  (CA) Let's Encrypt hat die Marke von 50 Millionen aktiver Zertifikat...

Beitrag kommentieren