Was ist Zertifikatstransparenz?
Zertifikatstransparenz (Certificate Transparency, CT) ist ein offenes Framework für das Protokollieren, Überwachen und Überprüfen von digitalen Zertifikaten, um den Domain-Inhabern die Kontrolle der für ihre Marken ausgestellten Zertifikate zu ermöglichen. CT-Logs vereinfachen das Identifizieren fälschlich ausgestellter oder nicht konformer Zertifikate und helfen so Domain-Inhabern, ihre Marken zu schützen. Zertifizierende Körperschaften, zum Beispiel Zertifizierungsstellen, verzeichnen ihre Zertifikate in Logs, um geltenden Standards gerecht zu werden.
DigiCert unterstützt CT, da Serverbetreiber und Nutzer von der frühzeitigen Erkennung fälschlich ausgestellter Zertifikate profitieren. CT hat also deutliche Vorteile für die Branche und ist ein Merkmal von Zertifizierungsstellen, die bei der Ausstellung von Zertifikaten sorgfältig vorgehen. Wir halten uns stets an die strengsten Vorgaben für das Verifizieren von Identitäten und das Ausstellen digitaler High-Assurance-Zertifikaten.
Welche Vorteile bietet Zertifikatstransparenz?
Schnellere Erkennung: Nicht autorisierte Zertifikate werden innerhalb weniger Stunden (statt Tagen, Wochen oder sogar Monaten) identifiziert. Domain-Inhaber haben so immer im Blick, ob Zertifikate ohne Genehmigung oder unter Missachtung ihrer Domain-Richtlinie ausgestellt wurden.
Schnellere Problembehebung: Nutzer können Zertifikate, die widerrufen werden müssen, schneller ausfindig machen und dies der zuständigen Zertifizierungsstelle mitteilen. Der Widerrufsprozess wird somit beschleunigt.
Tiefere Einblicke: Das TLS/SSL-System ist öffentlich einsehbar, das heißt, jeder kann den Zustand und die Integrität des Systems für sich beobachten und beurteilen. Auch die Unterschiede in den Ausstellungsprozessen der einzelnen Zertifizierungsstellen werden so deutlich.
Mehr Sicherheit: Transparenz bei der Ausstellung von Zertifikaten und die Benachrichtigung von Nutzern in Bezug auf ausgestellte Zertifikate schafft eine starke Vertrauenskette und macht Online-Aktivitäten sicherer.
Wozu dient Zertifikatstransparenz?
Zertifikatstransparenz kann nur entstehen, wenn die zahlreichen Beteiligten gut zusammenarbeiten, also Zertifizierungsstellen, Browser-Hersteller, Markeninhaber und die unabhängigen Körperschaften, die öffentliche CT-Logs betreiben.
Zertifikatstransparenz verfolgt zwei Ziele: Zum einen sollen Zertifizierungsstellen sämtliche TLS/SSL-Zertifikate in mehreren öffentlich verfügbaren CT-Logs registrieren, die von unabhängigen Organisationen betrieben werden. Browser dürfen dann nur registrierten Zertifikaten vertrauen. Zum anderen sollen Domain-Inhaber und andere Interessengruppen diese CT-Logs einsehen können, um Zertifikate ausfindig zu machen, die entweder fälschlich oder ohne Befugnis seitens des Zertifikatsinhabers ausgestellt wurden.
DigiCert ermöglicht zusätzliche Zertifikatsprüfungen und ist der Meinung, dass die Validierungsanforderungen noch strenger sein müssten, damit die Rechtmäßigkeit jedes für eine Domain oder Marke ausgestellten Zertifikats gegeben ist. Diese Bestätigung liefert Zertifikatstransparenz zwar erst nach der Ausstellung, doch wenn es nach uns geht, sind CT-Logs ein elementarer Bestandteil der TLS/SSL-Zertifikatsvalidierung und eine sinnvolle Ergänzung bei der Überprüfung des Antragstellers gemäß den CA/B Forum-Grundanforderungen.