Google verplicht Certificate Transparency

13 december 2016

Google heeft aangegeven Certificate Transparency per oktober 2017 te gaan verplichten in haar Chrome browser. SSL certificaten die vanaf dan worden uitgegeven, moeten voldoen aan de Certificate Transparency eisen, anders worden ze als onvertrouwd weergegeven.

Wat is Certificate Transparency?

Certificate transparency is een door Google vanaf 2013 ontwikkeld open source systeem dat SSL certificaten registreert. In het klassieke PKI-model wordt statusinformatie over de geldigheid van SSL certificaten verstrekt door de Certificaat uitgevers zelf, via CRL en OCSP. Omdat in het verleden is gebleken dat dit systeem niet 100% waterdicht is, heeft Google een eigen controle mechanisme ontwikkeld met als doel het verminderen van compromittatie en misbruik van SSL certificaten. Een bekend voorbeeld hiervan is DigiNotar, waarbij ongezien door browsers vertrouwde SSL certificaten zijn uitgegeven aan domeinen van o.a. Gmail van Google. Omdat dit niet werd opgemerkt werden de fraudeleus uitgegeven certificaten gewoon als geldig gezien. Google hield destijds voor haar eigen websites al een lijst bij met details over welk certificaat van welke uitgever werd gebruikt voor welke website, hierdoor werd het frauduleuze Gmail certificaat snel opgemerkt. Om dit soort incidenten te voorkomen zijn ze daarna gestart met de implementatie in Chrome. Naar eigen zeggen is het systeem nu ver genoeg ontwikkeld voor een grootschalige uitrol.

Huidige situatie

Vanaf januari 2015 worden EV certificaten van alle CA's opgenomen in de Certificate Transparency (CT) logs. Als een EV certificaat niet voorkomt in een CT log, toont Chrome de groene adresbalk niet. Voor Symantec, waaronder ook GeoTrust en Thawte, geldt dat alle certificaten toegevoegd moeten worden aan CT logs, niet enkel de certificaten met groene balk. De reden hiervoor is dat er door Symantec enige tijd geleden certificaten zijn uitgegeven voor interne testdoeleinden, waarin echter publieke domeinen van onder andere Google diensten werden gebruikt. Als reactie hierop heeft Google Symantec al eerder verplicht al haar SSL certificaten te registreren in de CT logs.

Wat wijzigt er precies?

Vanaf oktober 2017 gaan ze een stap verder: alle SSL certificaten zullen op een Certificate Transparency Log gevonden moeten worden. Dit geldt dus ook voor certificaten met domein- en organisatie validatie. Deze aankondiging is eind oktober gedaan en vervolgens gecommuniceerd in het CA/Browser Forum, het overleg orgaan voor CA's en browser fabrikanten. Deze verplichting betekent dat alle Certificaat autoriteiten vanaf oktober 2017 alle certificaten die ze uitgeven moeten registeren op de CT logs, zodat Chrome hiermee de integriteit van certificaten kan valideren. Het toevoegen van certificaten aan de CT logs gebeurt overigens door de Certificaat Autoriteit, de eindgebruiker of certificaathouder hoeft hier zelf niets voor te doen.

Waarom deze wijzigingen?

Google heeft een veiliger internet al langere tijd als speerpunt. Dit doen ze enerzijds door het stimuleren van het gebruik van SSL certificaten: Zo nemen ze sinds enkele jaren het gebruik van HTTPS op de hele website al mee als rankingfactor in de Google zoekresultaten, gaan ze vanaf januari 2017 waarschuwen bij websites zonder HTTPS en hebben ze na uitgebreid onderzoek de security indicators verduidelijkt. Anderzijds willen ze met initiatieven zoals Certificate Transparency het systeem rondom SSL certificaten veiliger maken.