Neuigkeiten bei SSL – bessere Parameter und Kontrolle
26.05.2016 | Petra Alm
Absicherung eines Webs gehört zusammen mit den SSL-Zertifikaten zu den sich stets weiterentwickelnden Bereichen. Die digitalen Zertifikate müssen auf aktuelle Anforderungen der Kunden reagieren und sind deshalb regelmäßig um neue Funktionen bereichert. Schauen wir uns in diesem Artikel die diesjährigen Neuigkeiten über die SSL-Zertifikate an, zusammen mit einem kurzen Blick in das kommende Jahr.
Komplette Unterstützung von Certificate Transparency
Certificate Transparency ist eine von Google stammende Sicherheitsfunktion, die die Ausstellung von Zertifikaten überwacht. Im Endeffekt hilft diese Funktion den Man-in-the-middle-Angriffen vorzubeugen, die anhand eines gefälschten (nicht autorisierten) Zertifikats durchgeführt werden.
Alle ausgestellten Zertifikate werden in einem öffentlichen Log (Eintrag) zugänglich gemacht, das objektiv verwaltet und auf mehreren unabhängigen Servern publiziert wird, damit es nicht verfälscht werden kann. Somit kann jeder überprüfen, welche Zertifikate die CA ausgestellt hat, weil ein Eintrag vorliegt. Die Funktion werden vor allem Domaininhaber schätzen, da sie sich davon überzeugen können, dass für ihre Domain kein Zertifikat ohne ihr Wissen ausgestellt worden ist.
Momentan unterstützen nur EV-Zertifikate von Symantec Certificate Transparency, ab Anfang des Jahres 2016 werden aber auch die DV- und OV-Zertifikate Certificate Transparency unterstützen. Dadurch werden sie transparenter, was vor allem bei den DV-Zertifikaten mit der niedrigsten Validierungsart – Validierung der Domain – zweckmäßig ist.
Mehrere SANs in den Zertifikaten von Symantec und Thawte
Die Möglichkeit, mehrere verschiedene Domains mit einem Zertifikat abzusichern, ist Ihnen bestimmt bereits bekannt. Diese Funktion heißt SAN-Technologie und die SAN-unterstützenden Zertifikate bilden schon lange einen Bestandteil unseres Angebots. Ursprünglich war die Anzahl von SANs in einem Zertifikat auf 24 begrenzt.
Nun wird bei allen Zertifikaten die maximale mögliche Anzahl von SANs unterstützt - in allen SAN-Zertifikaten können bis 100 DNS-Namen inbegriffen werden. Unser Bestellsystem ist darauf schon vorbereitet.
Der zweite Domainname wird automatisch ergänzt
Die Zertifizierungsstelle Symantec fügt schon seit mehreren Jahre den zweiten Namen der Domain als SAN dem Zertifikat kostenlos hinzu. Unsere Kunden kennen bestimmt die Regel, dass das Zertifikat mit dem www vor dem Domainnamen bestellt werden muss, damit auch die zweite Form (die ohne das www) in dem Zertifikat abgedeckt ist.
Nun kommt es zu einer Vereinfachung und das Prinzip funktioniert auch umgekehrt: Wenn Sie das Zertifikat für eine Domain ohne das www bestellen, können Sie es auch für den Namen mit dem www nutzen. Diese Neuheit wird Ihnen Sorgen bei der Erstellung des CSR und der Bestellung ersparen.
Nutzen Sie den CAA-Eintrag im DNS
Der CAA-Eintrag im DNS stellt eine Weise dar, wie Sie in der DNS-Zone einer betreffenden Domain bestimmen können, welche Zertifizierungsstelle für diese Domain ein Zertifikat ausstellen kann. Sollte jemand ein Zertifikat für dieselbe Domain bei einer anderen CA beantragen, wird diese CA dazu verpflichtet sein, den Eintrag zu überprüfen und die Ausstellung abzulehnen.
Die Unterstützung ist zwar vonseiten aller Zertifizierungsstellen noch nicht vollkommen, aber der Eintrag wird in Kürze obligatorisch sein. Die CA Symantec verwendet die CAA-Einträge bereits und richtet sich nach diesen.
Ende der Unterstützung von SHA-1 bei Zertifikaten und Applikationen
Diese Information wird für Sie bestimmt nicht neu sein, aber das Ende der Unterstützung von SHA-1 verdient eine kleine Wiederholung. Das nächste Jahr wird für den veralteten Hash-Algorithmus SHA-1 das letzte sein. Die Software-Produkte beenden seine Unterstützung und er wird nicht mehr verwendet. Die Zertifizierungsstellen werden die Zertifikate mit SHA-1 nicht mehr ausstellen.
Browser werden auf die fehlende Vertrauenswürdigkeit des Zertifikats und der Verbindung hinweisen, später werden sie die SHA-1-Zertifikate und die mit ihnen signierte Software komplett blockieren. Weitere Informationen finden Sie in einer Bekanntmachung von Mozilla oder Microsoft. Im Jahre 2017 sollte der Prozess der Abschaffung von SHA-1, der schon 2011 angefangen hat, zu Ende geführt werden.
SSL-Zertifikate stellen wir schon lange mit SHA-2 als Ausgangs-Signierungsalgorithmus aus. Falls Ihr Zertifikat eines älteren Typs ist und noch immer SHA-1 verwendet, lassen Sie es in unserem Kundenzentrum neu mit SHA-2 ausstellen – im Englischen wird dieser Schritt Reissue genannt. Nach dieser Lösung müssen Sie sich keine Sorgen mehr machen, dass einer der Browser die Besucher Ihres Webs vor einem nicht vertrauenswürdigen Zertifikat warnen könnte.
Welche Neuheiten erwarten uns im Jahr 2016?
Zum Schluss möchten wir Ihnen einen kurzen Blick in die Neuheiten vermitteln, die Symantec für das nächste Jahr vorhat. Wir erwarten weitere neue Funktionen bei den SANs und eine erweiterte Unterstützung der Zertifikate mit Sternchen (Wildcards), die zur größeren Variabilität der SAN-Zertifikate beitragen wird. Das CAB Forum denkt auch über eine Möglichkeit nach, EV-Wildcard-Zertifikate auszustellen, eine Entscheidung wurde noch nicht getroffen, aber hoffentlich wird unser Warten nicht vergeblich sein. Die Zertifizierungsstellen erwägen auch ein Kürzen der maximalen Laufzeit von Zertifikaten von drei Jahren auf zwei.
Bei den ECC-Zertifikaten wird Ihnen ECC Hybrid chain zur Verfügung stehen. Das bedeutet, dass Ihr ECC-Zertifikat (Leaf) durch ein Intermediate-Zertifikat mit RSA signiert werden und somit auf dem Produktionsweb einfacher eingesetzt werden kann. Eine Kombination der Algorithmen wird ermöglichen, die Hindernisse zu beseitigen, die die Verbreitung von ECC auf älteren Systemen verhindern.
Wir hoffen, dass Ihnen die neuen Funktionen von Nutzen sein werden und die endende Unterstützung von SHA-1 Ihnen keine Unannehmlichkeiten bereiten wird. Und vergessen Sie nicht, dass Ihnen unser Kundenservice jederzeit gerne zur Verfügung steht.
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de