Browser sollen von einer öffentlichen Liste abrufen, ob Zertifikate gültig sind
Nach dem Skandal um gefälschte SSL-Zertifikate im Sommer, haben Google-Forscher eine Methode vorgestellt, wie verschlüsselte Internet-Verbindungen sicherer gemacht werden können. Die Idee: Browser sollen bei jeder HTTPS-Verbindung abrufen, ob ein Zertifikat gültig ist. Die Zertifikate sollen in einer öffentlichen Liste verwaltet werden.
Zertifikate zurückziehen
Wie im Fall der Zertifikatsfälschung vom Sommer kann ein Zertifikat natürlich zurückgerufen werden. Browser-Hersteller streichen in so einem Fall das Zertifikat aus ihrer Liste, sodass sie vom Browser bei Aufruf der jeweiligen Website als ungültig erkannt werden. Doch damit sind nicht alle Browser gleichzeitig geschützt. Und bei einem Zertifikatsdiebstahl kann es mitunter längere Zeit dauern, bis er bemerkt wird. Gleichzeitig können Domain-Inhaber nicht immer überprüfen ob ein Zertifikat nicht eventuell unberechtigt ausgestellt wurde.
Öffentliche Liste
Hier setzt die Arbeit Certificate Authority Transparency and Auditability (pdf) der beiden Google-Entwickler Ben Laurie und Adam Langley an, berichtet heise. Alle Zertifizierungsstellen müssten ihre ausgestellten Zertifikate an eine zentrale, öffentliche Stelle übermitteln. Diese Liste soll bei jeder einzelnen SSL-Verbindung vom Browser abgerufen werden. So könnten gefälschte Zertifikate schneller entdeckt werden und Kriminelle hätten keine Chance mehr, sie einzusetzen. Die Liste soll nach Ansicht der Forscher wiederum mit sogenannten Merkle-Signaturen gesichert werden.
Umsetzung unklar
Wer diese Liste konkret warten soll, ob und wie die Methode überhaupt umgesetzt werden soll, ist noch nicht klar. Auch ob die Zertifizierungsstellen selbst mitspielen und ihre Daten öffentlich zugänglich machen würden, ist zu bezweifeln. Das SSL-System an sich soll laut den Forschern jedenfalls nicht verändert werden. (red)
Mit 
