Certificate Transparency

Die im März dieses Jahres umgesetzten präventiven Maßnahmen zum Schutz vor Corona haben dazu geführt, dass die IT-Landschaft in vielen Ländern unerwartet auf den Kopf gestellt wurde. Plötzlich war Home Office auch in solchen Betrieben möglich, wo dies bis zu diesem Zeitpunkt undenkbar war. Angesichts der fehlenden Alternativen mussten viele Führungskräfte und IT-Abteilungen im Schnellverfahren neue Prozesse etablieren und die bestehende Infrastruktur erweitern. Im Eifer des Gefechts wurden viele neue Dienste aufgesetzt, zunächst zum Testen der Möglichkeiten.

Insbesondere im Bereich Tele- und Videokonferenzsysteme gab es viele Neuinstallationen. Etliche davon sind als dauerhaftes Provisorium erst einmal im Betrieb geblieben – abgesichert mit einem Let's-Encrypt-Zertifikat, aber ohne weiteren Schutz und häufig sogar ganz ohne Login nutzbar. Da der Dienst nirgendwo verlinkt wird und lediglich intern zum Einsatz kommt, haben viele Administratoren aus Gründen der einfachen Nutzbarkeit, und weil sie bei der Umstellung noch viele andere Aufgaben hatten, beim Übergang darauf verzichtet, diesen Zustand zu verändern und die Dienste sinnvoll abzusichern.

Gefälschte Zertifikate erkennen

In den letzten Jahren gab es viel Bewegung im Ökosystem von TLS-Zertifikaten. Der Dienst Let's Encrypt hat seit 2014 den gesamten Markt für Zertifikate revolutioniert. Ohne großen Setup-Aufwand und ohne Kosten können Administratoren damit die Kommunikation ihrer Webdienste absichern. Laut Censys-Webseite [1] hat Let's Encrypt bei vertrauenswürdigen Webseiten einen Marktanteil von über 50 Prozent. Mit etwas weniger öffentlicher Aufmerksamkeit wurde bereits im Jahr 2013 das maßgeblich von Google vorangetriebene Konzept der Certificate Transparency umgesetzt.

Die Motivation für Certificate Transparency hat ihren Ursprung bereits im Jahr 2011. Nach einem Einbruch beim Zertifikataussteller

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.