Certificate Transparency

Certificate transparency is een initiatief van Google. Google Chrome kan hiermee zelf controleren of een SSL certificaat legitiem is uitgegeven.

Hoe werkt Certificate Transparency?

Certificate Transparency (CT) is een systeem van Google dat uitgegeven certificaten bijhoudt in sterk beveiligde, publiek beschikbare logs. Bij het bezoeken van een website checkt Chrome in deze logs of het aangetroffen SSL certificaat wel de juiste is. In de logs wordt per domeinnaam bijgehouden wanneer voor een domein een certificaat is afgegeven en door welke CA (uitgever van het certificaat). Een browser kan deze lijst vervolgens raadplegen als een met SSL beveiligde pagina wordt bezocht. Als het gebruikte certificaat niet op deze lijst voorkomt, is het certificaat dus (mogelijk) foutief of fraudulent uitgegeven. De browser kan dan de nodige acties ondernemen. Gevolgen zijn bijvoorbeeld het weergeven van een EV SSL certificaat zonder groene adresbalk, het geven van een foutmelding of het blokkeren van de toegang tot een website.

Waarom Certificate Transparency?

Browsers maken gebruik van controlemechanismen zoals CRL en OCSP. Beide technieken gebruiken hiervoor de statusinformatie van een CA. Door ingebruikname van CT zijn browsers niet meer afhankelijk van de informatie van de CA's. Daarnaast vertellen CRL en OCSP alleen of een certificaat niet is verlopen of tussentijds is ingetrokken. CT geeft hiernaast ook aan welk certificaat van welke CA er gebruikt moet worden. Dit geeft een extra waarborg als een rootcertificaat van een CA ongemerkt misbruikt wordt. Dit zal niet naar voren komen uit een CRL-check, maar wel uit de CT lijst.

Planning

Google is in Chrome versie 33 gestart met het controleren op CT, per 1 februari 2015 verplichten zij CT voor alle EV certificaten. Het ontbreken van CT informatie heeft vanaf deze datum als gevolg dat Chrome geen groene balk weer zal geven. Alle CA's werken mee aan dit initiatief en zorgen ervoor dat certificaten die zij uitgeven bekend zijn in de CT lijst. In oktober 2016 heeft Google aangekondigd Certificate Transparency perĀ oktober 2017 voor alle certificaten te verplichten. Na deze datum zou een certificaat dat niet in het CT log voorkomt, in Chrome onvertrouwd worden weergegeven. Dit geldt dus voor alle soorten SSL certificaten van alle uitgevers. Om alle betrokken partijen meer voorbereidingstijd te geven hebben ze in augustus 2017 aangekondigd deze deadline 6 maanden te verschuiven en Certificate Transparency te verplichten per april 2018.

Hoe komt mijn certificaat op de CT lijst?

Het toevoegen van certificaten aan de CT logs gebeurt overigens door de Certificaat Autoriteit, de eindgebruiker of certificaathouder hoeft hier zelf niets voor te doen. Certificaten worden nog voordat deze daadwerkelijk zijn uitgegeven aan de lijst toegevoegd. Je hoeft dus geen rekening te houden met een extra wachttijd voordat je certificaat bruikbaar is.

Externe informatie

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.