Die einst von Google initiierte Certificate Transparency-Initiative soll helfen, das SSL-\/TLS-Zertifikate-\u00d6kosystem sicherer zu machen. Apples CT-Richtlinie war bislang der von Googles Chrome-Browser recht \u00e4hnlich, jetzt allerdings gibt es \u00c4nderungen. Welche das sind und was Sie zu beachten haben, zeigen wir Ihnen in diesem Beitrag rund um die neue Certificate Policy von Apple. Dar\u00fcber hinaus erl\u00e4utern wir Ihnen, was es mit der Certificate Transparency (CT) auf sich hat und wie diese sich in den vergangenen Jahren entwickelt hat.<\/p>\n
Die Anf\u00e4nge von Certificate Transparency<\/a> gehen zur\u00fcck bis ins Jahr 2011: Seinerzeit wurden DigiNotar und weitere Zertifizierungsstellen (Certificate Authorities, CA) angegriffen. Diese Attacken zeigten die Schwachstellen des SSL-\/TLS-Zertifikate-\u00d6kosystems auf \u2013 die mangelnde Transparenz in der Art und Weise, wie CAs beim Ausstellen der Zertifikate vorgehen, sorgte f\u00fcr ein hohes Risiko in der Public Key-Infrastruktur (PKI). Nach Jahren der \u00dcberlegungen, wie man dieses sicherheitsrelevante \u00d6kosystem sch\u00fctzen k\u00f6nnte, war die Idee der Certificate Transparency (CT) geboren, wir berichteten<\/a>. Im Mai 2018 war es dann tats\u00e4chlich soweit und Google ging mit Certificate Transparency an den Start. Im Oktober desselben Jahres schloss sich auch Apple dieser Initiative an.<\/p>\n Certificate Transparency stellt eine Art \u00f6ffentliches Log-Buch dar, in dem ausgestellte Zertifikate vermerkt werden. In gewisser Weise \u00e4hnelt dieses Log-Buch einer Blockchain: Die Liste der Datens\u00e4tze wird kontinuierlich erweitert, wobei die Eintr\u00e4ge kryptografisch so gesichert sind, dass sie sich im Nachhinein nicht mehr \u00e4ndern lassen. Certificate Transparency hat sich mit den Jahren durchgesetzt, sodass Browser und andere Software SSL\/TLS-Zertifikate mittels CT pr\u00fcfen.<\/p>\n Certificate Transparency ist ein Mechanismus, mit dem ausgestellte Zertifikate \u00fcber Sammelpunkte \u00f6ffentlich einsehbar sind. Damit soll die Transparenz des Web-PKI-\u00d6kosystems erh\u00f6ht werden: Durch die \u00d6ffentlichkeit wird die Arbeit der CAs transparent und \u00fcberpr\u00fcfbar. Die Sammelpunkte \u2013 Kernst\u00fccke des Certificate Transparency-Systems \u2013 werden als Logs bzw. CT-Logs bezeichnet.<\/p>\n Seit 2018 nun erzwingt der Chrome-Browser aus dem Hause Google die Ver\u00f6ffentlichung neu ausgestellter Zertifikate der \u00f6ffentlichen PKI in CT-Logs. Beim Verbindungsaufbau via TLS wird das Vorhandensein der Signed Certificate Timestamps (SCTs) gepr\u00fcft \u2013 die SCTs sind Artefakte von der Zertifikatsver\u00f6ffentlichung, die kryptografisch gesichert werden. Kann Chrome nun keine SCTs pr\u00fcfen, so klassifiziert der Browser die Website als unsicher. Mittlerweile geh\u00f6rt es fast schon zum guten PKI-Ton, sich am CT-System zu beteiligen, indem ausgestellte Zertifikate \u00fcber CT-Logs verf\u00fcgbar sind.<\/p>\n Apple beteiligt sich seit 2018 an Certificate Transparency und bislang waren die Apple-eigenen CT-Richtlinien sehr an den Chrome-CT-Richtlinien angepasst. Im April 2021 aktualisierte Apple jedoch die CT-Policy: Man m\u00f6chte sich von einigen bisherigen Regeln trennen und neue eigenst\u00e4ndig definieren, um \u2013 nach Aussagen von Apple \u2013 die Sicherheit zu steigern. Neu sind diese Punkte:<\/p>\n Ger\u00e4teadministratoren erhalten dank neuer Payload zudem die M\u00f6glichkeit, individuelle CT-Anforderungen f\u00fcr interne Domains sowie Server bei Apple-Devices einzurichten. Alle \u00c4nderungen sind f\u00fcr Zertifikate g\u00fcltig, die nach dem 21. April 2021 ausgestellt wurden. Die jetzt g\u00fcltige Fassung der Certificate Transparency Policy finden Sie auf Apples Website<\/a>.<\/p>\n Nun stellen sich sicherlich einige Lesende die Frage, was es nun bei Ihren Zertifikaten zu beachten gibt. Darauf gibt es eine erleichternd einfache Antwort: Nichts. Als Kundin oder Kunde handhaben Sie Ihre Zertifikate einfach wie bislang, Ihre CA k\u00fcmmert sich um den Rest.<\/p>\n <\/p>\n <\/p>\n Gender-Disclaimer:Was soll\u00a0Certificate Transparency\u00a0\u00e4ndern?<\/h3>\n
CT: So wird mit Certificate Transparency gearbeitet<\/h3>\n
Apple mit neuer Certificate Transparency\u00a0Policy<\/h2>\n
\n
Neue Certificate Transparency Policy: Was gibt\u2019s zu beachten?<\/h2>\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n