Hoe staat het met de ondersteuning van Certificate Transparency (CT) door logboeken, browsers en certificeringsinstanties?
Logboeken
Sinds februari 2018 verstuurt DigiCert standaard alle nieuw uitgegeven en openbaar vertrouwde TLS/SSL-certificaten naar CT-logboeken. Met deze wijziging liepen we vooruit op de algemene branchevereiste van Google die in april 2018 van kracht werd. Die vereiste is bedoeld om de beveiliging van onze klanten te verbeteren en het gebruik van de nieuwe werkwijze te stimuleren. Tot 2018 was registratie alleen vereist voor EV-certificaten.
DigiCert houdt zijn eigen CT-logboek bij, dat ook wordt gebruikt door Google. Voor zo'n logboek is een hoge mate van beschikbaarheid vereist, wat gedurende een periode van 90 dagen wordt getest. Als een logboek niet aan die eisen kan voldoen, wordt het niet betrouwbaar geacht. Daarom heeft DigiCert extra maatregelen genomen om ervoor te zorgen dat zijn logboek voldoende capaciteit heeft om alle uitgegeven certificaten te kunnen verwerken.
Browsers
Chrome: Chrome ondersteunt CT sinds begin 2014. Deze ondersteuning wordt nu omgezet naar een vereiste voor alle certificeringsinstanties die certificaten uitgeven.
Voor eenjarige certificaten vereist Google CT-bewijzen uit twee onafhankelijke logboeken. Voor tweejarige certificaten die zijn uitgegeven voordat in 2020 eenjarige certificaten de norm werden, waren CT-bewijzen uit ten minste drie onafhankelijke logboeken vereist. Om de overgang te vergemakkelijken voor de certificeringsinstanties heeft Google tijdelijk die onafhankelijkheidseis versoepeld, waardoor certificeringsinstanties twee bewijzen uit de logboeken van Google en één bewijs uit het logboek van DigiCert kunnen toevoegen. De verwachting was dat meer certificeringsinstanties en andere geïnteresseerde partijen in de tussentijd logboeken zouden maken om te waarborgen dat er voldoende operationele logboeken zijn.
Firefox: momenteel voert Firefox geen controles uit en is het gebruik van CT-logboeken niet vereist voor sites die door gebruikers worden bezocht.
Safari: Apple eist de aanwezigheid van een variërend aantal SCT's voordat de browser en andere servers vertrouwen stellen in servercertificaten.
Certificeringsinstanties:
Op basis van RFC 9162 van de Internet Engineering Task Force (IETF) wordt verwacht dat openbare certificeringsinstanties al hun nieuw uitgegeven certificaten zullen registreren in een of meer logboeken. Certificaathouders kunnen zelf ook hun eigen certificaatketens toevoegen, net als derde partijen.
Sinds januari 2015 registreren alle grote certificeringsinstanties de door hen uitgegeven EV-certificaten in CT-logboeken. Sindsdien moeten certificeringsinstanties die EV-certificaten uitgeven gebruikmaken van de twee beschikbare Google-logboeken en het DigiCert-logboek om te voldoen aan de vereiste van Google.
Hoe voldoet DigiCert aan de eis van Certificate Transparency?
CT maakt het systeem van TLS/SSL-certificaten nog betrouwbaarder doordat de records van uitgegeven certificaten openbaar te controleren zijn. Sinds 2015 vereist Google dat certificeringsinstanties hun EV-certificaten registreren in openbare CT-logboeken. Sinds april 2018 vereist Google dat certificeringsinstanties ook OV- en DV-certificaten opnemen in die openbare CT-logboeken.
Vanaf 1 februari 2018 registreert DigiCert alle nieuw uitgegeven TLS/SSL-certificaten in openbare CT-logboeken. Deze wijziging heeft geen gevolgen voor OV- en DV-certificaten die zijn uitgegeven vóór 1 februari 2018.
Browsers met een CT-beleid:
Met ingang van april 2018 vereist Google dat certificeringsinstanties alle TLS/SSL-certificaten (EV, OV en DV) registreren.
Met ingang van 15 oktober 2018 vereist Apple dat certificeringsinstanties alle TLS/SSL-certificaten (EV, OV en DV) registreren.
Wat is de achtergrond en de geschiedenis van Certificate Transparency?
In 2011 werd de Nederlandse certificeringsinstantie DigiNotar gehackt. Daardoor konden de hackers 500 frauduleuze certificaten uitgeven op basis van de vertrouwde root van DigiNotar. Deze certificaten werden gebruikt om diverse websites na te bootsen, zoals Google en Facebook, en man-in-the-middle aanvallen uit te voeren op nietsvermoedende gebruikers.
Naar aanleiding van dit incident (en andere spraakmakende incidenten waarbij certificaten ten onrechte of bewust kwaadwillig werden uitgegeven door certificeringsinstanties anders dan DigiCert), besloot Google dat er een nieuwe oplossing moest komen. Twee van hun engineers, Ben Laurie en Adam Langley, bedachten het concept van Certificate Transparency (transparantie van certificaten) en begonnen met het uitwerken daarvan als een opensourceproject. In 2012 stelden ze samen met het IETF een werkende conceptversie op van Certificate Transparency, en in 2013 publiceerden ze een RFC.
In 2013 startte Google twee openbare logboeken en kondigde plannen aan om uiteindelijk CT als vereiste te stellen voor alle EV SSL-certificaten in Google Chrome.
DigiCert begon in 2012 te experimenteren met de integratie van CT en leverde feedback over de voorgestelde implementatie ervan. In september 2013 was DigiCert de eerste certificeringsinstantie die CT in zijn systemen implementeerde, en in oktober van dat jaar was DigiCert de eerste certificeringsinstantie die klanten de optie bood om CT-bewijzen op te nemen in SSL-certificaten.
In september 2014 diende DigiCert een eigen logboek in bij Google voor toevoeging aan Chrome. Het DigiCert-logboek werd op 31 december 2014 goedgekeurd. DigiCert was de eerste certificeringsinstantie die een CT-logboek maakte.
