Theodor Nolte: Certificate Transparency

Mit Certificate Transparency (CT) wird die Web-PKI um sogenannte CT-Logs erweitert, in denen von CAs ausgestellte Webserver-Zertifikate veröffentlicht werden können.  Diese CT-Logs unterliegen keinen Zugriffsbeschränkungen. Jeder kann Zertifikate veröffentlichen oder bereits veröffentlichte Zertifikate einsehen. Wird ein Zertifikat einem CT-Log zur Veröffentlichung übermittelt, so antwortet das CT-Log mit einer signierten Annahmequittung, dem sogenannten Signed Certificate Timestamp (SCT), welcher eindeutig einem Zertifikat zugeordnet werden kann.  Zertifikate werden üblicherweise in mehreren CT-Logs veröffentlicht.  Ein Webserver unterstützt CT, wenn zusammen mit dem Webserver-Zertifikat die SCTs beim TLS-Handshake zu einem HTTPS-Webseitenaufruf an den Browser übermittelt werden. CT-Logs können von Domain-Inhabern, CAs der Web-PKI und Dritten überwacht werden und es ist davon auszugehen, daß fälschlich ausgestellte Zertifikate entdeckt werden. 

Die Idee von Certificate Transparency ist es, nur Webserver-Zertifikaten zu vertrauen, die in CT-Logs veröffentlicht worden sind. Dies ist bereits in Chromium (und Chrome) der Fall für Extended Validation
(EV-) Zertifikate.  Ab April 2018 müssen auch alle anderen Webserver-Zertifikate CT unterstützen, um von Chromium akzeptiert zu werden. In der präsentierten Projektarbeit wird eine Deployment-Untersuchung zu CT durchgeführt.  Es wird untersucht, inwieweit die Webserver der 1 Mio. populärsten Domains (Alexa-Top1M) CT bereits unterstützen. Hierzu wurde das erste in Python geschriebene Tool 'ctutlz' entwickelt, welches die beim TLS-Handshake übertragenen SCTs ermittelt, indem es nativ auf die C-API von OpenSSL zurückgreift.

Slides