Mehr Schutz für SSL Zertifikate

Führende europäische Trustcenter pilotieren eigenständige Lösung für mehr Zertifikats-Sicherheit.

 

Mit der deutschen D-TRUST GmbH, der Schweizer SwissSign AG und der spanischen Izenpe S.A. haben drei führende europäische Trustcenter eine Initiative zur Entwicklung eines paneuropäischen Sicherheitssystems für SSL Zertifikate gestartet. Damit reagieren die Akteure auch auf das von Google angekündigte Modell der ‹Certificate Transparency›. Über dieses Modell werden fehlerhaft arbeitende Zertifizierungsstellen identifiziert und aus der abgesicherten Internetkommunikation ausgeschlossen.
 

Bereits im Juli des vergangenen Jahres haben sich mit den ‹Baseline Requirements› alle im internationalen ‹Certification Authority Browser Forum› (CA/Browser Forum) geeinte Vertrauensdiensteanbieter auf einige grundlegende Sicherheitsanforderungen verständigt. Diese sehen unter anderem vor, dass ab dem Frühjahr 2015 von den weltweit genutzten Webbrowsern nur noch Zertifikate mit einer Schlüssellänge von mindestens 2048 Bit und einer maximale Gültigkeitsdauer von fünf Jahren akzeptiert werden. 
 

Um diese und weitere Vorgaben überwachen und prüfen zu können, hat Google das Sicherheitsverfahren ‹Certificate Transparency› entwickelt. Dessen Grundidee: In einem kryptografisch geschützten Log-System sollen alle für die sichere Internetkommunikation genutzten Zertifikate registriert und von zentralen Log-Servern verwaltet werden. Nachträgliche Veränderungen, Ergänzungen oder sonstige Manipulationen eines einmal registrierten Zertifikats wären damit ausgeschlossen bzw. würden von jedem Browser umgehend erkannt. «Dieser insbesondere von Google Chrome vorangetriebene Ansatz wird künftig einen wichtigen Eckpfeiler der vertrauenswürdigen Internetkommunikation bilden», kommentiert Dr. Kim Nguyen, Geschäftsführer der deutschen D-TRUST GmbH, einem Tochterunternehmern der Bundesdruckerei GmbH, die aktuelle Diskussion. «Allerdings werden die notwendigen Registrierungssysteme, so genannte ‹Certificate Logs›, bisher nur von US-amerikanischen Anbietern bereitgestellt, wobei wir es bei diesem stark reputationsbasiertem Vertrauensmodell für immens wichtig halten, dass auch europäische Interessen berücksichtigt werden.»

 

Pilotierung eines eigenen Certificate Logs
 

Vor diesem Hintergrund haben sich die Akteure von D-TRUST, SwissSign und Izenpe zur Pilotierung eines eigenen Certificate Logs entschieden, dass das Certificate Transparency Modell über eine komplett eigenständige Log-Infrastruktur unterstützen soll. «Wir verstehen unseren Vorstoss vor allem als einen Prozess der Klärung und potentiellen Erweiterung des Certificate Transparency Modells», beschreibt Urs Fischer, CEO der Schweizer SwissSign, die Ziele der Initiative.
 

Über den Betrieb eines ersten Test-Servers beim spanischen Partner Izenpe sollen neue Erkenntnisse gewonnen werden, um die Möglichkeiten einer souveränen europäischen Log-Infrastruktur konkreter als bisher diskutieren und auch mit global tätigen Webbrowser-Anbietern wie Google, Apple, Microsoft oder Mozilla abstimmen zu können.
 

Dabei bleibt eines der wesentlichen Ziele der Initiative, dass die grün-hinterlegten Adresszeile des Browsers (green bar), die Internet-Nutzer auf eine vertrauenswürdige Verbindung hinweist, auch zukünftig im Interesse aller im internationalen CA/Browser Forum vertretenen Anbietern. Sollte sich allein das US-amerikanische Sicherheitsmodell durchsetzen, so die Befürchtung, könnten einzelne Zertifikate trotz hoher Sicherheitsstandards das bewährte Gütesiegel des grünen Extended-Validation-Logos verlieren.