Hauptbereich
31.03.2017

CT-Log für SSL EV: Nun auch Precertificate möglich

 

Das CT-Log Projekt dient der Überprüfung von Zertifikatsausstellungen. Die Logs, die sämtliche Zertifikatsausstellungen aller Zertifizierungsstellen weltweit auflisten, sind offen. Somit kann jeder Ausstellungen für seine eigene Domänen überwachen und Falschausstellungen erkennen.

Zertifizierungsstellen können Zertifikate bereits während der Antragsphase auflisten (sogenanntes „Precertificate“), oder erst nach Genehmigung und Ausstellung. Mit einem Precertificate wird die Loginformation der Log-Betreiber als x509v3 Zertifikatserweiterung (Signed Certificate Stamp (SCT)) eingetragen und kann von jedem Webbrowser direkt erkannt werden. Im Falle eines Eintrages nach Ausstellung, wird die Log-Information erst im Rahmen einer Gültigkeitsabfrage mittels „OCSP Stapling“ übermittelt. Letzteres Verfahren ist eleganter, da Logbetreiber ihren Betrieb auch einstellen können und das Zertifikat immer mit einer Ersatzloginformation für das weggefallene Log versorgt wird. Allerdings wird OCSP Stapling noch nicht von allen Webservern unterstützt. Derzeit unterstützen folgende Webserver OCSP Stapling:

  • Apache > 2.2.3
  • Nginx > 1.3.7
  • Microsoft IIS Windows Server > 2008
  • HA Proxy > 1.5.0
  • LiteSpeed Web Server > 4.2.4
  • F5 Networks BIG-IP > 11.6.0

SwissSign hat bereits immer EV Zertifikate mittels dem OCSP Stapling Verfahren angeboten. Neu ist nun auch die Möglichkeit Precertificate zunächst für SSL Gold EV Zertifikate zu nutzen. Im letzten Schritt vor der Ausstellung wird gefrag, welches Verfahren für das CT Log angewendet werden soll.