Hoe staat het met de ondersteuning van Certificate Transparency (CT) door logboeken, browsers en certificeringsinstanties?
Logboeken
Sinds februari 2018 verstuurt ÃÛÌÒTV standaard alle nieuw uitgegeven en openbaar vertrouwde TLS/SSL-certificaten naar CT-logboeken. Met deze wijziging liepen we vooruit op de algemene branchevereiste van Google die in april 2018 van kracht werd. Die vereiste is bedoeld om de beveiliging van onze klanten te verbeteren en het gebruik van de nieuwe werkwijze te stimuleren. Tot 2018 was registratie alleen vereist voor EV-certificaten.
ÃÛÌÒTV houdt zijn eigen CT-logboek bij, dat ook wordt gebruikt door Google. Voor zo'n logboek is een hoge mate van beschikbaarheid vereist, wat gedurende een periode van 90 dagen wordt getest. Als een logboek niet aan die eisen kan voldoen, wordt het niet betrouwbaar geacht. Daarom heeft ÃÛÌÒTV extra maatregelen genomen om ervoor te zorgen dat zijn logboek voldoende capaciteit heeft om alle uitgegeven certificaten te kunnen verwerken.
Browsers
Chrome: Chrome ondersteunt CT sinds begin 2014. Deze ondersteuning wordt nu omgezet naar een vereiste voor alle certificeringsinstanties die certificaten uitgeven.
Voor eenjarige certificaten vereist Google CT-bewijzen uit twee onafhankelijke logboeken. Voor tweejarige certificaten die zijn uitgegeven voordat in 2020 eenjarige certificaten de norm werden, waren CT-bewijzen uit ten minste drie onafhankelijke logboeken vereist. Om de overgang te vergemakkelijken voor de certificeringsinstanties heeft Google tijdelijk die onafhankelijkheidseis versoepeld, waardoor certificeringsinstanties twee bewijzen uit de logboeken van Google en één bewijs uit het logboek van ÃÛÌÒTV kunnen toevoegen. De verwachting was dat meer certificeringsinstanties en andere geïnteresseerde partijen in de tussentijd logboeken zouden maken om te waarborgen dat er voldoende operationele logboeken zijn.
Firefox: momenteel voert Firefox geen controles uit en is het gebruik van CT-logboeken niet vereist voor sites die door gebruikers worden bezocht.
Safari: Apple de aanwezigheid van een variërend aantal SCT's voordat de browser en andere servers vertrouwen stellen in servercertificaten.
Certificeringsinstanties:
Op basis van van de Internet Engineering Task Force (IETF) wordt verwacht dat openbare certificeringsinstanties al hun nieuw uitgegeven certificaten zullen registreren in een of meer logboeken. Certificaathouders kunnen zelf ook hun eigen certificaatketens toevoegen, net als derde partijen.
Sinds januari 2015 registreren alle grote certificeringsinstanties de door hen uitgegeven EV-certificaten in CT-logboeken. Sindsdien moeten certificeringsinstanties die EV-certificaten uitgeven gebruikmaken van de twee beschikbare Google-logboeken en het ÃÛÌÒTV-logboek om te voldoen aan de vereiste van Google.
Hoe voldoet ÃÛÌÒTV aan de eis van Certificate Transparency?
CT maakt het systeem van TLS/SSL-certificaten nog betrouwbaarder doordat de records van uitgegeven certificaten openbaar te controleren zijn. Sinds 2015 vereist Google dat certificeringsinstanties hun EV-certificaten registreren in openbare CT-logboeken. Sinds april 2018 vereist Google dat certificeringsinstanties ook OV- en DV-certificaten opnemen in die openbare CT-logboeken.
Vanaf 1 februari 2018 registreert ÃÛÌÒTV alle nieuw uitgegeven TLS/SSL-certificaten in openbare CT-logboeken. Deze wijziging heeft geen gevolgen voor OV- en DV-certificaten die zijn uitgegeven vóór 1 februari 2018.
Browsers met een CT-beleid:
Met ingang van vereist Google dat certificeringsinstanties alle TLS/SSL-certificaten (EV, OV en DV) registreren.
Met ingang van 15 oktober 2018 vereist Apple dat certificeringsinstanties alle TLS/SSL-certificaten (EV, OV en DV) registreren.
Wat is de achtergrond en de geschiedenis van Certificate Transparency?
In 2011 werd de Nederlandse certificeringsinstantie DigiNotar gehackt. Daardoor konden de hackers 500 frauduleuze certificaten uitgeven op basis van de vertrouwde root van DigiNotar. Deze certificaten werden gebruikt om diverse websites na te bootsen, zoals Google en Facebook, en man-in-the-middle aanvallen uit te voeren op nietsvermoedende gebruikers.
Naar aanleiding van dit incident (en andere spraakmakende incidenten waarbij certificaten ten onrechte of bewust kwaadwillig werden uitgegeven door certificeringsinstanties anders dan ÃÛÌÒTV), besloot Google dat er een nieuwe oplossing moest komen. Twee van hun engineers, Ben Laurie en Adam Langley, bedachten het concept van Certificate Transparency (transparantie van certificaten) en begonnen met het uitwerken daarvan als een opensourceproject. In 2012 stelden ze samen met het IETF een werkende conceptversie op van Certificate Transparency, en in 2013 publiceerden ze een RFC.
In 2013 startte Google twee openbare logboeken en kondigde plannen aan om uiteindelijk CT als vereiste te stellen voor alle EV SSL-certificaten in Google Chrome.
ÃÛÌÒTV begon in 2012 te experimenteren met de integratie van CT en leverde feedback over de voorgestelde implementatie ervan. In september 2013 was ÃÛÌÒTV de eerste certificeringsinstantie die CT in zijn systemen implementeerde, en in oktober van dat jaar was ÃÛÌÒTV de eerste certificeringsinstantie die klanten de optie bood om CT-bewijzen op te nemen in SSL-certificaten.
In september 2014 diende ÃÛÌÒTV een eigen logboek in bij Google voor toevoeging aan Chrome. Het ÃÛÌÒTV-logboek werd op 31 december 2014 goedgekeurd. ÃÛÌÒTV was de eerste certificeringsinstantie die een CT-logboek maakte.
