Google verdoppelt SSL-Zertfikatslänge auf 2048 Bit

Google hat begonnen, seine SSL-Verschlüsselungszertifikate von 1024 auf 2048 Bit umzustellen. Der Prozess soll im Lauf der nächsten Monate abgeschlossen werden. Bereits Ende Mai hatte Google angekündigt, es werde noch 2013 diese Umstellung vornehmen.

Probleme mit den Änderungen in der Zertifizierungskette sollten nur Geräte haben, deren SSL-Root-Zertifikate fest kodiert sind. Als Beispiel für solche Problemkandidaten nennt Google bestimmte Telefonsysteme, Drucker, Settop-Boxen und Kameras. Von der Praxis nicht modifizierbarer Zertifikatslogik rate zwar jeder Experte ab, sie werde aber wohl aus Platzgründen bisweilen eingesetzt, kommentiert für Google Tim Bray.

Solche Geräte können künftig nicht mehr auf Googles HTTPS-Dienste zugreifen – es sei denn, der jeweilige Hersteller macht ein Firmware-Update dafür verfügbar. „Zertifikate können sich von einem Augenblick auf den anderen ändern, und Software, die sie nutzt, muss damit zurechtkommen“, heißt es in Googles Internet Authurity FAQ. Das Unternehmen rät dazu, bei jeder Hardware, für die Updates nötig sein könnten, spontane Aktualisierungen zuzulassen.

Schließlich sei eine Reihe von Situationen denkbar, in der ein Zertifikatswechsel nötig werde. Nicht nur könnten einzelne Zertifikate kompromittiert werden, sondern auch die Zertifikatsaussteller selbst. In solchen Fällen müssen alle von dem Unternehmen signierten Root-Zertifikate zurückgerufen werden.

Beispielsweise musste 2011 der niederländische Zertifikatsaussteller DigiNotar (auch als Certificate Authority oder kurz CA bezeichnet) Konkurs anmelden, nachdem es einem Angreifer gelungen war, ein falsches Zertifikat für *.google.com auszustellen und einen Man-in-the-Middle-Angriff durchzuführen. Dies bedeutet, dass eine laufende Verbindung entführt wird, ohne dass der Anwender dies überhaupt bemerken könnte. Die Zertifikate von DigiNotar nutzte unter anderem die Regierung der Niederlande. Sie wurden schon kurz nach dem Vorfall von zahlreichen Browsern und Betriebssystemen zurückgewiesen. Neben DigiNotar waren von der Angriffswelle 2011 die Certificate Authorities Comodo, GlobalSign und StartCom betroffen.

Die Bedeutung von Zertifikaten hat letzte Woche ein Exklusivbericht von News.com anschaulich gemacht: Seinen Quellen zufolge hatten FBI und NSA versucht, an geheime Generalschlüssel für SSL-Verbindungen zu kommen, um verschlüsselte Kommunikation im Internet entschlüsseln zu können.

Google hat 2010 begonnen, seine Internetdienste zunächst optional (und ab 2011 auch standardmäßig) per SSL zu verschlüsseln. Den Anfang machten Gmail und Websuche.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.