Certificate Transparency

Certificate transparency is een initiatief van Google. Google Chrome kan hiermee zelf controleren of een SSL certificaat legitiem is uitgegeven. Naar verwachting start Chrome per februari 2015 met het actief geven van meldingen.

Hoe werkt Certificate Tranparency?

Certificate Tranparency (CT) is een systeem van Google dat uitgegeven certificaten bijhoudt in sterk beveiligde, publiek beschikbare logs. Bij het bezoeken van een website checkt Chrome in deze logs of het aangetroffen SSL certificaat wel de juiste is. In de logs wordt per domeinnaam bijgehouden wanneer voor een domein een certificaat is afgegeven en door welke CA (uitgever van het certificaat). Een browser kan deze lijst vervolgens raadplegen als een met SSL beveiligde pagina wordt bezocht. Als het gebruikte certificaat niet op deze lijst voorkomt, is het certificaat dus (mogelijk) foutief of fraudulent uitgegeven. De browser kan dan de nodige acties ondernemen. Gevolgen zijn bijvoorbeeld het weergeven van een EV SSL certificaat zonder groene adresbalk, het geven van een foutmelding of het blokkeren van de toegang tot een website.

Waarom Certificate Transparency?

Browsers maken gebruik van controlemechanismen zoals CRL en OCSP. Beide technieken gebruiken hiervoor de statusinformatie van een CA. Door ingebruikname van CT zijn browsers niet meer afhankelijk van de informatie van de CA's. Daarnaast vertellen CRL en OCSP alleen of een certificaat niet is verlopen of tussentijds is ingetrokken. CT geeft hiernaast ook aan welk certificaat van welke CA er gebruikt moet worden. Dit geeft een extra waarborg als een rootcertificaat van een CA ongemerkt misbruikt wordt. Dit zal niet naar voren komen uit een CRL-check, maar wel uit de CT lijst.

Wat gaat er gebeuren?

Google is in Chrome versie 33 gestart met het controleren op CT, het ontbreken van CT informatie heeft nu echter nog geen direct zichbare gevolgen. Per 1 februari 2015 verplichten zij CT voor alle EV certificaten. Het ontbreken van CT informatie heeft vanaf deze datum als gevolg dat Chrome geen groene knop weer zal geven. Als dit goed verloopt is het de bedoeling om CT voor alle SSL certificaten in te zetten. Alle CA's werken mee aan dit initiatief en zorgen ervoor dat certificaten die zij uitgeven bekend zijn in de CT lijst.

Hoe komt mijn certificaat op de CT lijst?

Voor het toevoegen van certificaten aan de CT lijst werken CA's volgens het opt-out principe. EV Certificaten voor openbaar toegankelijke websites worden door de diverse CA's automatisch toegevoegd aan de CT lijst, tenzij door de klant wordt aangegeven dat dit niet de bedoeling is. Voor certificaten uitgegeven voor niet openbaar toegankelijke websites geldt een opt-in principe, deze komen dus niet op de lijst, tenzij de klant aangeeft dat deze daar wel op moeten komen. Een uitzondering op deze regel is op dit moment Comodo; deze heeft aangegeven alle EV certificaten op de CT lijst te plaatsen. Certificaten worden nog voordat deze daadwerkelijk zijn uitgegeven aan de lijst toegevoegd. Je hoeft dus geen rekening te houden met een extra wachttijd voordat je certificaat bruikbaar is.

Externe informatie

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.