Google stellt SSL-Zertifikate um

 

Die Sicherheit und die Privatsphäre der Nutzer ist einer der wichtigsten Aufgaben von Google, schreibt das Unternehmen in seinem Online Security Blog. Daher gebe es bald Änderungen bei verschlüsselten Verbindungen zu Google. 

Bis Ende des Jahres wird Google die Zertifikate auf 2048-bit umstellen. Begonnen wird damit am 1. August, aber der Austausch findet nicht gleichzeitig bei allen Services stand, sondern bis Ende des Jahres.

Auch das Root-Zertifikat, welches alle SSL-Zertifikate von Google signiert, wird ausgetauscht, da dieses derzeit nur einen 1024-bit Schlüssel hat. Für die meisten Clients wird es keine Probleme geben, aber unter bestimmten Umständen kann es zu Fehlern kommen. Dadurch, dass man die Änderung doch mit rund zwei Monaten Vorlauf ankündigt, kann man diese noch vorher ausbessern.

Für ein optimales Upgrade muss Client Software, die eine SSL-Verbindung zu Google aufbaut, folgendes erfüllen

• Normale Validierung der Zertifikatskatte
• Eine Reihe von Root-Zertifikaten enthalten. Weiteres gibt es im FAQ
• Unterstützung von Subject Alternative Names (SANs).

Weiterhin sollten die Clients die Server Name Indication (SNI) Erweiterung unterstützen, da diese unter Umständen weitere API Anfragen stellen müssen. um eine SSL Verbindung aufzubauen. Wer sich unsicher ist, ob sein Client SNI unterstützt, kann in gegen https://googlemail.com testen. Diese sollte nur validieren, wenn man SNI mit sendet.

Weiterhin kann zum Beispiel auch das Hardcoding von Zertifikaten zum Beispiel in Firmware.

Google wird bis auf weiteres Thawte und Equifx als Root CA verwenden. Die Zertifikate sind zudem immer mit dem zu erwartenden Hostnames ausgestattet.

Weiteres findet man im oben verlinkten FAQ und im Posting.

---

---