Certificate Transparency (CT) steht für ein offenes Framework zur Überwachung von SSL/TLS-Zertifikaten, was auf Deutsch etwa bedeutet "Zertifikatstransparenz". Allgemein gibt es in der IT-Sicherheit immer wieder Herausforderungen bei der Überprüfung von digitalen Zertifikaten - hierbei spielen Zertifizierungsstellen (CA, Certificate Authority) eine wichtige Rolle, da sie die SSL/TLS-Zertifikate ausstellen. Daher ist es wichtig, dass CT-Logs existieren, um die Integrität und Transparenz im Zertifikatssystem zu gewährleisten. Häufig sieht man, dass falsch ausgestellte Zertifikate erst spät entdeckt werden; CT-Logs sollen das verhindern.
DigiNotar-Hack: Auslöser für Certificate Transparency
Die Entwicklung von Certificate Transparency begann im Grunde mit dem aufsehenerregenden Hack von DigiNotar. Bei DigiNotar handelt es sich um eine Zertifizierungsstelle (CA). Die Angreifer konnten mit dem System von DigiNotar valide SSL/TLS-Zertifikate für eine Vielzahl von Domains ausstellen - darunter auch google.com. Im Endeffekt konnten die Angreifer damit iranische Bürger ausspionieren ohne, dass diese eine Chance hatten, das zu bemerken. Ganz klassisch kam hier der Man-in-the-Middle-Angriff zum Einsatz.
Wie funktioniert das Certificate Transparency Framework?
CT-Logs sind öffentliche Logs, in die nur neue weitere Einträge hinzugefügt werden können. CT-Logswerden von unabhängigen Körperschaften und Browser-Herstellern betrieben. SSL/TLS-Zertifikate und Vorzertifikate werden in diese Logs eingetragen, um die Transparenz zu erhöhen. Der Prozess nutzt kryptografische Verfahren wie den Merkle Tree Hash, um die Integrität der Logs zu gewährleisten. Signed Certificate Timestamps (SCTs) werden von den Logs ausgegeben, um zu bestätigen, dass ein Zertifikat abgespeichert wurde.
Welche Rolle spielen SCTs und Merkle Trees?
SCTs (Signed Certificate Timestamps) sind Nachweise dafür, dass ein Zertifikat in ein CT-Log eingetragen wurde. Der Merkle Tree Hash sorgt dafür, dass die Einträge in den Logs nicht manipuliert werden können. Daher ist es wichtig, dass diese Technologien korrekt implementiert werden, um die Sicherheit zu gewährleisten.
Warum ist Certificate Transparency wichtig für die IT-Sicherheit?
Die Zertifikatstransparenz ermöglicht es, falsch ausgestellte TLS/SSL-Zertifikate frühzeitig zu erkennen und somit die Sicherheit im Internet zu erhöhen. Browser wie Google Chrome nutzen CT-Logs, um die Vertrauenswürdigkeit von Zertifikaten zu überprüfen. Daher ist es wichtig, dass Zertifizierungsstellen die CA/B Forum-Grundanforderungen einhalten und Zertifikate korrekt validieren. Häufig sieht man, dass der Widerrufsprozess für Zertifikate kompliziert ist; CT-Logs und CT-Monitore helfen dabei, diesen Prozess zu verbessern.
Wie unterstützen Browser die Zertifikatstransparenz?
Browser wie Google Chrome und Mozilla prüfen bei der Einrichtung einer TLS-Verbindung die vorhandenen SCTs in den Zertifikaten. SCTs können auf verschiedene Weise bereitgestellt werden, beispielsweise durch SCT-Stapling im TLS-Protokoll oder durch OCSP-Stapling. Hier sollte man bei der Konfiguration des Webservers ansetzen, um sicherzustellen, dass die SCTs korrekt übermittelt werden.
Welche Zertifikatstypen sind betroffen?
Zertifikatstransparenz betrifft alle Arten von SSL/TLS-Zertifikaten, einschließlich Extended Validation (EV), Organisation Validated (OV) und Domain Validated (DV) SSL/TLS-Zertifikate. High-Assurance-Zertifikate wie EV SSL/TLS-Zertifikate erfordern besonders strenge Validierungsanforderungen. Daher ist es wichtig, dass Zertifizierungsstellen und Domain-Inhaber die CA/Browser Forum Baseline Requirements beachten.
-
Extended Validation (EV) SSL/TLS-Zertifikate:
Bieten die höchste Vertrauensstufe durch strenge Prüfungen der Organisation. Daher ist es wichtig, dass sie in CT-Logs eingetragen werden. -
Organisation Validated (OV) SSL/TLS-Zertifikate:
Validieren die Existenz der Organisation, häufig sieht man sie bei geschäftlichen Websites. -
Domain Validated (DV) SSL/TLS-Zertifikate:
Bestätigen lediglich die Kontrolle über die Domain. Hier sollte man bei der Sicherheitsbewertung genau hinschauen.
Wie werden Certificate Transparency Logs genutzt?
Certificate Transparency Logs werden genutzt, um alle ausgestellten TLS/SSL-Zertifikate öffentlich zugänglich zu machen. Browser und Zertifikatsprüfungen greifen auf diese Logs zu, um die Gültigkeit von Zertifikaten zu verifizieren. Zertifizierungsstellen wie DigiCert und GlobalSign tragen ihre Zertifikate in CT-Logs ein, um den Root-Programm Anforderungen von Browser-Herstellern wie Google und Mozilla zu entsprechen.
Was sind Vorzertifikate und warum sind sie wichtig?
Vorzertifikate sind spezielle Zertifikate, die vor der endgültigen Ausstellung in CT-Logs eingetragen werden. Sie ermöglichen es, SCTs vom CT-Log zu erhalten, bevor das endgültige Zertifikat ausgestellt wird. Daher ist es wichtig, dass Vorzertifikate korrekt gehandhabt werden, um die Integrität des Zertifizierungsprozesses zu gewährleisten.
Wie helfen CT-Monitore bei der Sicherheit?
CT-Monitore überwachen CT-Logs und benachrichtigen Domain-Inhaber über neue Zertifikate, die für ihre Domains ausgestellt wurden. Facebook bietet zum Beispiel einen kostenlosen CT-Monitoring-Service an. Dadurch können falsch ausgestellte Zertifikate schnell entdeckt und der Widerrufsprozess eingeleitet werden.
-
CT-Monitore von Facebook:
Bieten kostenlose Benachrichtigungen über neue Zertifikate für Ihre Domain. -
CT-Monitore von Drittanbietern:
Erlauben individuelle Anpassungen und erweitertes Monitoring. -
CT-Monitore von DSecured Argos:
Überwacht Zertifikate einer Domain und benachrichtigt über Änderungen.
Welche Herausforderungen gibt es bei Certificate Transparency?
Obwohl Certificate Transparency viele Vorteile bietet, gibt es auch Herausforderungen. Zum Beispiel müssen Zertifizierungsstellen und Browser-Hersteller zusammenarbeiten, um die CA/B Forum-Grundanforderungen umzusetzen. Zudem müssen Root-Programm Anforderungen erfüllt werden, um das Vertrauen der Nutzer zu erhalten. SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind komplexe Protokolle, und die Integration von CT kann zusätzliche Komplexität bedeuten.
Das OCSP (Online Certificate Status Protocol) ist ein Protokoll zur Überprüfung des Widerrufsstatus von Zertifikaten. Durch OCSP-Stapling können Webserver den aktuellen Status eines Zertifikats direkt an den Browser übermitteln. In Kombination mit SCT-Stapling im TLS-Protokoll können so sowohl der Zertifikatsstatus als auch die SCTs effizient bereitgestellt werden.
Angriffsoberfläche: CT Logs
Aus Sicht von Angreifern sind diese Logs ebenfalls von Interesse. Warum? Weil man damit viele Hosts aus den Zertifikaten auslesen kann und so einen ersten Einblick zur externen Angriffsoberfläche eines Unternehmens erhält. Argos nutzt CT Logs beispielsweise als Methode des Asset Discovery. Diese Daten in Kombination mit Cloud Assets von AWS und Google können schnell und effektiv Shadow IT aufzeigen. Nicht ohne Grund erfreuen sich Anbieter von CT Logs (in der Regel wird Google oder Facebook verwendet) auch beim Red Teaming großer Beliebtheit.
Man muss sich bewusst machen, dass diese Logs transparent und öffentlich sind. Jeder kann sie einsehen. Vor allem Multi-Tenant SaaS-Anbieter haben das oft nicht auf dem Schirm. Ihre Konfiguration sieht vor, dass jeder Kunde eine eigene Subdomain bekommt. Ein Beispiel wäre: kunde1.saas-anbieter.com, kunde2.saas-anbieter.com. Diese Subdomains sind in den CT Logs einsehbar. So etwas ist natürlich für die Konkurrenz interessant - man kann so schnell herausfinden, wer Kunde bei einem Anbieter ist. Auch für Angreifer kann das von Interesse sein. Die bessere Lösung für diesen Use-Case ist es Wildcard-Domains zu verwenden, also *.saas-anbieter.com.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.