/ Security / Facebook stellt kostenlose Zertifikats-Überwachung bereit

Facebook stellt kostenlose Zertifikats-Überwachung bereit

Moritz Rosenfeld on December 16, 2016 - 6:32 pm in Security

Mit einem Monitoring Tool für Certificate Transparency können Admins den Zertifizierungsstellen auf die Finger schauen – wenn sie ein Stück ihrer Seele verkaufen.

Certificate Transparency (CT) soll Licht in das zwielichtige Zertifikatssystem bringen. Dazu verpflichtet es die Zertifizierungsstellen, automatisiert alle durchgeführten Zertifizierungen in einem Log zu protokollieren. Dies ist so angelegt, dass sie immer nur Informationen anhängen, getätigte Einträge jedoch nicht löschen oder ändern können. Google übt dabei einigen Druck auf die CAs aus, sich auch tatsächlich an CT zu beteiligen. So soll ab Oktober 2017 Chrome alle neu ausgestellten Zertifikate, für die keine Certificate-Transparency-Logs vorliegen, als nicht mehr vertrauenswürdig einstufen.

In der Folge lässt sich möglicher Missbrauch auf eine Zertifizierungsstelle zurückführen. Im Prinzip können Firmen auch ihre Domains beobachten und missbräuchlich ausgestellte Zertifikate bemerken und anfechten, bevor diese tatsächlich genutzt werden. Genau hier setzt Facebooks neues CT-Tool an. Damit lassen sich alle in den öffentlichen CT-Logs registrierten Zertifikate für eine Domain anzeigen. Darüber hinaus kann man sich über neu hinzugekommene Zertifikate via E-Mail benachrichtigen lassen.

Facebook stellt kostenlose Zertifikats-Überwachung bereit
Auf Wunsch benachrichtigt Facebook über neu für eine Domain registrierte Zertifikate. Vergrößern

Facebook selbst nutzt CT selbst bereits seit einiger Zeit auf diese Weise und hat nach eigenen Angaben damit auch bereits einige missbräuchlich ausgestellte Zertifikate aufgespürt. Allerdings handelte es sich dabei nicht etwa um Angriffe oder missbräuchliche Aktivitäten der ausstellenden CAs, wie sie Google mittels CT bereits mehrfach Symantec nachgewiesen hat. Vielmehr hatten wohl einzelne Abteilungen der eigenen Firma die Facebook-Policy für Zertifikate nicht richtig verstanden und sich eigenhändig Zertifikate besorgt.

Nur gegen Registrierung

Im Prinzip kann man Facebooks neue CT-Tools kostenlos nutzen. Allerdings benötigt man schon für einen ersten Test ein gültiges Facebook-Konto. Facebook geht offenbar davon aus, dass die als Zielgruppe anvisierten Admins und Datenschützer ein solches haben und auch im dienstlichen Kontext nutzen. Um sich über neue Zertifikate benachrichtigen zu lassen, muss man Facebook gestatten, “Wichtige Benachrichtigungen über dich oder Aktivitäten, die du verpasst hast” zuzustellen, was sicher auch die ein oder andere Facebook-Mail ins Postfach spült, die nichts mit Zertifikaten zu tun hat. Eine registrierungsfreie Suche in CT-Logs bietet Comodo bei crt.sh; die Server von CTwatch.net sind leider seit Monaten nicht mehr zu erreichen. (ju)

Read more on: Source

Comments are disabled