Google kräver certifikattransparens

13 december 2016

Google meddelade nyligen att de kommer att göra Certificate Transparency obligatorisk från och med oktober 2017. SSL-certifikat som utfärdas efter detta datum måste uppfylla villkoren för certifikattransparens, annars kommer de att visas som opålitliga.

Vad är certifikattransparens?

Certificattransparens är ett open source-system som registrerar SSL-certifikat och har utvecklats av Google sedan 2013. I den klassiska PKI- modellen, ger certifikatmyndigheterna statusinformation om SSL-certifikatens giltighet via CRL och OCSP. Det är systemet, vilket påvisats tidigare, är inte 100 % idiotsäkert, varför Google bestämde sig för att utveckla sin egen kontrollmekanism för att minska missbruket av SSL-certifikat. Ett välkänt exempel är DigiNotar, vars betrodda certifikat i hemlighet utfärdas till domäner från bl.a. Gmail från Google. Eftersom detta inte upptäcktes var de falska utfärdade SSL-certifikaten betrodda av alla webbläsare. Då hade Google redan en lista med uppgifter om vilka certifikat som användes och för vilken webbplats det användes, för sina egna domäner. Genom detta upptäcktes falska Gmail-certifikat mycket snabbt. För att förhindra denna typ av incidenter i framtiden har de börjat genomföra denna funktion (eller lista) i sin Chrome-webbläsare. Vid det här laget säger de att systemet är tillräckligt utvecklat för en storskalig utrullning.

Nuvarande situation

Sedan januari 2015 ingår EV-certifikat från al CAs ingår i Certificate Transparency (CT)-loggar. Om ett EV-certifikat inte registreras i en CT-logg, visar inte Chrome det gröna adressfältet för detta certifikat. Dessutom är alla certifikat utfärdade av Symantec tillagda i CT-loggar. Detta gäller varumärket Symantec, GeoTrust och Thawte, även för certifikat utan det gröna adressfältet. Detta orsakas av händelsen där Symantec utfärdade giltiga certifikat för interna teständamål, med hjälp av offentliga domäner från Googles tjänster. Som svar tvingade Google Symantec att registrera alla sina SSL-certifikat i CT-loggar.

Vad kommer att förändras?

Från oktober 2017 går man ett steg längre: Från detta datum måste alla SSL-certifikat omfattas av Transparency-loggen. Detta gäller även certifikat med domän- och organisationsvalidering. Detta tillkännagivande gjordes i slutet av oktober, och sedan kommuniceras i CA /Browser Forum, rådgivande organ för CAs och webbläsarleverantörer. Denna skyldighet innebär att från oktober 2017 måste alla certifikatutfärdare registrera de certifikat som de utfärdar i CT-loggar, vilket gör det möjligt för Chrome för att validera certifikatens integritet. Tillägg av certifikat i CT-loggar utförs av certifikatutfärdaren, så ingen åtgärd krävs från slutanvändare eller certifikatägare.

Varför dessa förändringar?

En säkrare Internet är har länge varit en av Googles prioriteringar. Å ena sidan stimulerar de användningen av SSL-certifikat: Sedan några år tillbaka används HTTPS på hela webbplatsen och utgör en rankningsfaktor i Google Search. Från januari 2017 kommer de att införa en varning för webbplatser utan HTPPS, och efter förlängd forskning har de klargjort säkerhetsindikatorerna i webbläsaren. Å andra sidan försöker de göra SSL-certifikatsystemet säkrare med initiativ som t.ex. Certifikate Transparency.