Übersicht
Certificate Transparency ist eine Erweiterung des aktuellen SSL-Ausstellungs- und Überwachungssystems, um öffentlich überprüfbare Protokolle von Zertifizierungsstellen (CAs) bereitzustellen, sodass die Erkennung von irrtümlich ausgestellten oder böswillig erworbenen Vorkommnissen leicht erkannt werden kann.
In Google Chrome sehen Sie eine Meldung wie „SSL-Zertifikat hat keine öffentlichen Audit-Aufzeichnungen“. Ein derzeit von RapidSSL ausgestelltes Zertifikat sieht beispielsweise so aus:
Dies gilt NICHT zeigen an, dass ein Problem mit dem Zertifikat oder der Website vorliegt. Wie durch das grüne Schloss angezeigt, ist dies immer noch ein gültiges Zertifikat, das korrekt von der Website bereitgestellt wurde.
Volle Unterstützung der Zertifikatstransparenz
Um die Zertifikatstransparenz vollständig zu unterstützen, ist sowohl Unterstützung auf dem Server als auch über die Zertifizierungsstelle erforderlich. Derzeit (April 2014) wird dies für fast alle Hosting-Dienste vom Server nicht unterstützt. Die Änderungen an den erforderlichen Paketen (OpenSSL) sind derzeit für Version 1.0.2 geplant, dies kann jedoch noch geändert werden. Es gibt keine Garantie dafür, dass dies auf aktuelle Red Hat / CentOS-Versionen zurückportiert wird, was bedeutet, dass es aus einem Drittanbieter-Repository stammen müsste.
Da die Zertifikate auch ohne diese Unterstützung weiterhin gültig sind, empfiehlt Conetix abzuwarten, bis die volle Unterstützung durch alle CA's und auch durch Standard-Systempakete gegeben ist. Die zusätzliche Transparenz wird eine zusätzliche Sicherheitsgarantie für SSL in der Zukunft bieten, um eine weitere Gewissheit zu bieten, dass das SSL-Zertifikat korrekt ist.
Weiterführende Literatur
Offizielle Website:http://www.certificate-transparency.org/
Aktueller RFC (experimentell):http://tools.ietf.org/html/rfc6962
Google-Gruppendiskussion:https://groups.google.com/forum/#!forum/certificate-transparency