Verschlüsselung: Behalten Sie Ihre Zertifikate im Blick

Inhalt

Mit Certificate Transparency treibt Google ein System voran mit dem alle neu ausgestellten TLS-Zertifikate ab Oktober 2017 in ein öffentliches Log eingetragen werden müssen. So soll ein Missbrauch des Zertifikatsystems erschwert werden. Alle nicht eingetragenen Zertifikate werden vom Chrome-Browser nicht mehr anerkannt und die betroffenen Seiten als nicht vertrauenswürdig gekennzeichnet.

Googles Certificate Transparency behebt dabei mehrere strukturelle Fehler in dem SSL-Zertifikatsystem, dass das wichtigste kryptografische System ist, das allen HTTPS-Verbindungen zugrunde liegt. Diese Fehler schwächen die Zuverlässigkeit und Effektivität verschlüsselter Internetverbindungen und können kritische SSL/TLS-Mechanismen beeinträchtigen, einschließlich Domänenvalidierung, End-to-End-Verschlüsselung und Vertrauensketten, die von Zertifikatsbehörden eingerichtet werden. Wenn sie unkontrolliert bleiben, können diese Mängel eine breite Palette von Sicherheitsangriffen wie Webseiten-Spoofing, Server-Identitätswechsel und Man-in-the-Middle-Angriffe erleichtern.

Wie der aktuelle Streit zwischen Google und Symantec zeigt, werden bereits jetzt Zertifikate von Symantec in der Vertrauenswürdigkeit heruntergestuft und auf lange Sicht von Google als nicht mehr vertrauenswürdig anerkannt. So das der Chrome Browser alle Websites, die ein Symantec Zertifikat verwenden als nicht vertrauenswürdig kennzeichnen wird.

Die Enginsight Plattform bieten Ihnen daher stets eine aktuelle Übersicht über die Vertrauenswürdigkeit all Ihrer verwendeten Zertifikate und alarmiert Sie umgehend bei Änderungen.

 

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Jahresrückblick 2020

Mit frischen Köpfen und vollem Einsatz konnten wir im Jahr 2020 viele neue Kunden und Partner gewinnen. Durch neue Funktionen und Möglichkeiten haben wir zudem unsere Software ein gutes Stück mächtiger gemacht.

Weiterlesen »
Mit XXS lassen sich Sitzungen von Browsern übernehmen.

Webseite von Bundesbehörde erlaubte Cross-Site-Scripting

Cross-Site-Scripting (XXS) ist seit vielen Jahren eine der meistgenutzten Angriffsvektoren auf Webseiten. Von einer Sicherheitslücke betroffen, die XXS-Attacken ermöglicht, sind leider noch immer zu viele Webseiten. Bis vor Kurzem betroffen: die Webseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Wir erklären, was es damit auf sich hat und was sich daraus lernen lässt.

Weiterlesen »
NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo