Google möchte Online-Check der SSL-Zertifikate abschaffen

chrome 

In einer der kommenden Versionen von Google Chrome wird sich ein Sicherheitsfeature ändern. Es wird keine Abfrage mehr erfolgen, ob ein SSL-Zertifikat noch gültig ist. Stattdessen soll auf eine lokale Liste zurückgegriffen werden. 

Die Sache hat zwei Gründe: Mit Online Certificate Status Protocol (OCSP) kann der Browser abfragen, ob ein Zertifikat widerrufen wurde. Da die Server nicht immer schnell genug antworten, lassen die meisten Browsern das Zertifikat zu, wenn das Timeout überschritten wurde. Ein Angreifer kann diese Abfragen zudem unterdrücken und könnte somit eine SSL-Verbindung manipulieren.

Weiterhin verbraucht die Abfrage Zeit, auf die Google gerne verzichten möchte und nur noch auf die andere Methode zur Überprüfung der Gültigkeit zurückgreifen: Certificate Revocation Lists (CRLs). Diese Liste enthalten die widerrufenen Zertifikate der ausgebenden Stellen. Diese sind schon heute in den Browsern integriert. Nach den Einbrüchen bei einige Zertifikat-Anbietern im letzten Jahr wurden die Root CAs bei den meisten Herstellern per Browser-Update.

Google ruft nun die Herausgeber von Zertifikaten vorab solche Listen anzubieten. Für den Nutzer bedeutet, dass dann wohl öfters Updates, wobei Chrome diese ja sowieso schon immer einspielt, ohne dass der Nutzer Hand anlegen muss. Erst wenn Chrome circa 12-24 Stunden nach dem Downloaden und der Installation des Updates nicht neugestartet wurde, gibt es über den Schraubenschlüssel einen Hinweis dazu.

Weitere Details gibt es im Posting des Googlers Adam Langley.

Teile diesen Artikel: