Google kræver certifikatgennemsigtighed

13 december 2016

Google har meddelt, at de fra oktober 2017 vil kræve certifikatgennemsigtighed i deres Chrome-browser. SSL-certifikater, der udstedes derefter, skal opfylde kravene til certifikatgennemsigtighed, ellers vises de som upålidelige.

Hvad er certifikatgennemsigtighed?

Certifikatgennemsigtighed er udviklet af Google i 2013 som Open Source-system, der registrerer SSL-certifikater. I den klassiske PKI-model udstedes statusoplysninger om ​​SSL-certifikaternes gyldighed af certifikatudbyderne selv, gennem CRL og OCSP. Da det tidligere har vist sig, at dette system ikke er 100 % vandtæt, har Google udviklet sin egen kontrolmekanisme med henblik på at reducere kompromittering og misbrug SSL-certifikater. Et velkendt eksempel er DigiNotar, der ubemærket af browsere udstedte betroede SSL-certifikater til domæner for bl.a. Googles Gmail. Da det ikke blev bemærket, blev disse svigagtige udstedte certifikater ganske enkelt betragtet som gyldige. Google havde på daværende tidspunkt til deres egne websites allerede en liste med oplysninger om, hvilket certifikat fra hvilken udsteder blev brugt til hvilke websites, så det svigagtige Gmail-certifikat blev hurtigt bemærket. For at forhindre sådanne hændelser begyndte de derefter at implementere dem i Chrome. Ifølge ham selv er systemet nu tilstrækkeligt udviklet til en storstilet udrulning.

Nuværende situation

Fra januar 2015 registreres EV-certifikater fra alle CA'er i Certificate Transparency (CT)-logge. Hvis et EV-certifikat ikke findes i en CT-log, viser Chrome ikke den grønne adresselinje. For Symantec, herunder GeoTrust og Thawte, gælder, at alle certifikater skal føjes til CT-logge, ikke kun certifikater med grøn linje. Årsagen til dette er, at Symantec for noget tid siden udstedte certifikater til interne testformål, hvori der blev anvendt faktiske offentlige domæner, blandt andet Google-tjenester. Som svar herpå har Google allerede krævet, at Symantec registrerer deres SSL-certifikater i CT-logge.

Hvad præcist ændres?

Fra oktober 2017 går de et skridt videre: Alle SSL-certifikater skal findes i en Certificate Transparency-log. Dette gælder også certifikater med domæne- og organisationsvalidering. Denne bekendtgørelse blev udarbejdet i slutningen af ​​oktober og efterfølgende bekendtgjort i CA/Browser Forum, det rådgivende organ for CA'er og browserudviklere. Dette krav betyder, at alle certifikatmyndigheder fra oktober 2017 skal registrere alle certifikater, som de udsteder, i CT-logge, så Chrome dermed kan validere ​​certifikaternes integritet. Tilføjelsen af certifikater til CT-logge foretaget i øvrigt af Certificate Authority, så slutbrugeren eller certifikatindehaveren behøver ikke selv gøre noget.

Hvorfor disse ændringer?

Google længde haft et mere sikkert internet som spydspids. Det gør de på den ene side ved at tilskynde anvendelse af SSL-certifikater: De har allerede i flere år inkluderet brugen af HTTPS på hele websitet som rangeringsfaktor i Google-søgeresultater, og vil fra januar 2017 advare ved websites uden HTTPS og har efter omfattende forskning tydeliggjort sikkerhedsindikatorerne. På den anden side ønsker de med initiativer som Certificate Transparency at gøre systemet omkring SSL-certifikater mere sikkert.