Certificate Transparency – Liste der ausgestellten Zertifikate

05.04.2018 | Petra Alm

Seit dem 1. April müssen alle SSL/TLS Zertifikate, die von öffentlichen Zertifizierungsstellen stammen, in Certificate Transparency Logs eingetragen sein. Wir erklären uns, wozu dieser Mechanismus gut ist und wie die Zertifikate in den dezentralisierten Verzeichnissen auffindbar sind.

Die öffentlichen Logs von allen herausgegebenen Zertifikaten sollen vor allem zur Kontrolle der Zertifikatsausstellung dienen und sicherstellen, dass einige von den hunderten öffentlichen Zertifizierungsstellen nicht betrügerisch handeln und die Zertifikate nicht ohne die nötige Berechtigung ausstellen. Die Prinzipien des Projektes Certificate Transparency finden Sie auf seiner (nicht gerade übersichtlichen) Homepage.

Certificate Transparency in Chrome als Pflicht

Seit April erfordert Google, dass die ausgestellten Zertifikate in Certificate Transparency angewesen sind. Falls Chrome das Zertifikat in dem Log nicht findet, wird es von dem Browser als nicht vertrauenswürdig eingestuft. Dies stellt auch den Hauptgrund dafür dar, warum Certificate Transparency ebenfalls für die anderen Zertifizierungsstellen verbindlich ist. Für die EV-Zertifikate mit der erweiterten Validierung funktioniert dieses Prinzip bereits seit dem Jahre 2015.

Überprüfung der SSL/TLS Zertifikate

Die öffentlichen Auflistungen funktionieren dezentralisiert, wie wir schon am Anfang erwähnt haben. Bei der Kontrolle können Sie somit verschiedene Logs durchsuchen und dazu eine Menge von Tools nutzen. Wir beschreiben uns nun die effektivsten.

Certificate Transparency Monitoring ist ein von Facebook stammendes Tool. Von diesem Unternehmen würden Sie ein Tool für die SSL-TLS Zertifikate vielleicht nicht erwarten, aber es handelt sich um den besten Browser für die Certificate Transparency Logs. Er macht eben so, was Sie von einem solchen Tool benötigen – sucht Einträge über die für die gegebene Domain ausgestellten Zertifikate schnell aus. Er zeigt das konkrete Zertifikat und seine Details an und vor allem können Sie mit ihm E-Mail-Hinweise für den Fall einstellen, dass für Ihre Domain ein Zertifikat ausgestellt werden sollte. Der Nachteil dieses Tools besteht darin, dass es erst nach dem Log-In genutzt werden kann – es wird ein Facebook-Konto erfordert.

Certificate Transparency Monitoring von Facebook

Ein fortgeschrittenes, aber weniger benutzerfreundliches Tool finden Sie auf dem Server crt.sh. Es bietet professioneller Funktionen wir den OCSP Check des Zertifikats an, aber die Bearbeitung an sich ist spartanisch durchgeführt, das Zertifikat wird in ASN. 1 chaotisch dargestellt und vor allem die Suche ist nicht so einfach wie im Fall von Facebook…

Certificate Transparency Log bei crt.sh

In der Liste von Tools für die Überprüfung von Certificate Transparency dürfen wir nicht Google selbst vergessen; er ist doch der „Vater“ dieses Kontrollsystems. Als Bestandteil des Projektes Certificate Transparency ermöglicht der Checker die Suche nach dem Hostnamen, samt abgelaufenen Zertifikaten, oder samt der Subdomain der Hauptdomain. Dieses Tool verfügt unter den erwähnten Werkzeugen über die wenigsten Funktionen und zeigt nur die Angaben über das Zertifikat, seinen Aussteller und über das CT Log an, in welchem die Informationen eingetragen sind.

Certificate Transparency Browser von Google

Was bringt CT den Nutzern?

Aus dem oben Erwähnten geht hervor, dass Certificate Transparency als eine Maßnahme für die Überwachung der ausgestellten Zertifikate nur in dem Fall sinnvoll ist, dass Sie die Benachrichtigung konkret für Ihre Domain einstellen können. Sonst ist der Mechanismus für die User eigentlich nutzlos. Die Hinweise werden jedoch nur von dem CT-Tool von Facebook unterstützt, welches außerdem nur mit einem Facebook-Konto erreichbar ist.

Aus der Sicht des Zertifikatsinhabers, welcher die anderen Zertifizierungsstellen logischerweise aus der Sicht lässt, stellt Certificate Transparency eher einen ergänzenden Mechanismus dar, welchen er eher ausnahmsweise antrifft. Die ausgestellten Zertifikate werden in das Verzeichnis automatisch ergänzt, damit sie für Chrome vertrauenswürdig sind. Falls Sie als Domaininhaber die Ausstellung des Zertifikats vonseiten einer anderen CA verhindern möchten, empfehlen wir Ihnen, den CAA Eintrag in DNS zu verwenden. Dies ist wirksamer als die nachträgliche Überprüfung, weil die Zertifizierungsstellen verpflichtet sind, von dem Eintrag seit den letzten Ferien auszugehen.