Certificate Transparency (CT) Transparenzinformationen


 
Selber überprüfen?
Derzeit nur mit Chrome möglich
Klick auf Unternehmensnamen in Adresszeile
Klick auf Verbindung
Klick auf Transparenzinformationen

 

/
Weitere Informationen:

CT – Google
RFC6962

Seit Anfang 2015 unterstützen EV SSL Zertifikate Zertifikatstransparenz (Certificate Transparency – CT). In einem für jeden einsehbaren Log-System werden alle Zertifikate registriert. Diese werden von Log-Servern verwaltet. Nur öffentlich registrierte Zertifikate sind auch gültig. Es soll dabei insbesondere unmöglich sein, Zertifikate nachträglich aus dem Log zu entfernen oder welche einzufügen. Wenn eine Zertifizierungsstelle nun böswillig ein Zertifikat ausstellt, welches etwa zur Überwachung von Nutzern eingesetzt wird, lässt sich dies zwar nicht direkt verhindern, es lässt sich jedoch auch nicht geheim halten.

Das CT-Projekt macht die Zertifikatsausstellung einer CA für Überprüfung und Überwachung offen, was dazu verwendet werden kann, falsche Ausstellungen zu erkennen. Transparenz wird dadurch erreicht, dass CAs Zertifikate auf öffentlich zugänglichen qualifizierten CT-Logs registrieren. Kunden können Log-Monitore erstellen, die auf Zertifikate achten, die für ihre Domains ausgestellt werden und die falsche Ausstellungen innerhalb von Minuten erkennen.

CT-Logs sind ‘append only’ Logs. Obwohl jedermann Zertifikate auf den Logs registrieren kann, werden sie in erster Linie von Zertifizierungsstellen verwendet, um “Vor-Zertifikate” zu registrieren. Wenn Vor-Zertifikate auf den Logs registriert werden, gibt der Log-Betreiber einen Signed Certificate Timestamp (SCT) zurück, der nachweist, dass das Zertifikat protokolliert wurde. Dieser SCT kann von Browsern verwendet werden, um zu validieren, dass das Zertifikat protokolliert war. SCTs können über eine Vielzahl von Mechanismen an den Browser verteilt werden.