Google steigt in das Geschäft der Zertifizierungsstelle ein

Google hat eine eigene Stammzertifizierungsstelle (CA) eingerichtet, mit der das Unternehmen digitale Zertifikate für seine eigenen Produkte ausstellen kann und bei der Implementierung von HTTPS in allen Google-Bereichen nicht auf Zertifizierungsstellen von Drittanbietern angewiesen sein muss.

Bisher war Google als eigene untergeordnete Zertifizierungsstelle (GIAG2) mit Sicherheitszertifikaten tätig, die von Dritten ausgestellt wurden. Das Unternehmen wird die Beziehung zu Drittanbietern fortsetzen, auch wenn HTTPS für seine Produkte und Dienstleistungen mithilfe seiner eigenen Stammzertifizierungsstelle eingeführt wird, sagte Ryan Hurst, Manager in der Sicherheits- und Datenschutz-Engineering-Gruppe von Google. Google Trust Services wird die Stammzertifizierungsstelle für Google und seine Muttergesellschaft Alphabet betreiben.

Es war nur eine Frage der Zeit, da der Internetgigant es wahrscheinlich satt hat, dass verschiedene Behörden fälschlicherweise falsche / ungültige Google-Zertifikate ausstellen. GlobalSign hatte im vergangenen Herbst ein Problem beim Widerruf von Zertifikaten, das sich auf die Verfügbarkeit mehrerer Web-Eigenschaften auswirkte, und große Browserhersteller unter der Leitung von Mozilla beschlossen, das Vertrauen in WoSign / StartComm-Zertifikate wegen Verstößen gegen Branchenpraktiken zu widerrufen. Symantec wurde aufgefordert, wiederholt Zertifikate zu generieren, zu denen es nicht berechtigt ist, und diese dann versehentlich außerhalb der Testumgebung des Unternehmens zu verlieren. Jetzt kann Google überprüfbare Google-Zertifikate ausstellen und das Unternehmen vom alten Zertifizierungsstellensystem befreien.

Um den Umstieg auf eine unabhängige Infrastruktur zu starten, hat Google zwei Root-Zertifizierungsstellen erworben, GlobalSign R2 (GS Root R2) und R4 (GS Root R4). Das Einbetten von Stammzertifikaten in Produkte und die breite Bereitstellung der zugehörigen Versionen dauert eine Weile. Der Kauf vorhandener Stammzertifizierungsstellen hilft Google daher, früher mit der unabhängigen Ausstellung von Zertifikaten zu beginnen, sagte Hurst.

Google Trust Services betreibt sechs Stammzertifikate: GTS-Stamm R1, GTS-Stamm R2, GTS-Stamm 3, GTS-Stamm 4, GS-Stamm R2 und GS-Stamm R4. Alle GTS-Roots laufen im Jahr 2036 ab, während GS Root R2 im Jahr 2021 und GS Root R4 im Jahr 2038 abläuft. Google kann seine Zertifizierungsstellen auch mithilfe von GS Root R3 und GeoTrust signieren, um potenzielle Timing-Probleme beim Einrichten des Roots zu lösen Zertifizierungsstellen.

"Google verwaltet eine PEM-Beispieldatei unter (//pki.goog/roots.pem), die regelmäßig aktualisiert wird, um die von Google Trust Services betriebenen und betriebenen Roots sowie andere Roots aufzunehmen, die jetzt oder in Zukunft für die Kommunikation erforderlich sein könnten mit und nutzen Sie Google-Produkte und -Dienste ", sagte Hurst.

Entwickler, die an Code arbeiten, der für die Verbindung mit Google-Webdiensten oder -Produkten entwickelt wurde, sollten planen, "mindestens" die von Google betriebenen Stammzertifikate als vertrauenswürdig einzuschließen, aber versuchen, eine "breite Palette vertrauenswürdiger Wurzeln" beizubehalten, zu denen gehören, aber gehören Hurst sagte, dass dies nicht auf diejenigen beschränkt ist, die über Google Trust Services angeboten werden.

Wenn es um die Arbeit mit Zertifikaten und TLS geht, sollten alle Entwickler bestimmte Best Practices befolgen, z. B. strenge Transportsicherheit (HSTS), Anheften von Zertifikaten, Verwendung moderner Verschlüsselungs-Chiffresuiten, sicheres Kochen und Vermeiden des Mischens unsicherer Inhalte.

Es gibt keinen Grund, warum Google seine eigene Stammzertifizierungsstelle nicht verwalten kann, da es über das Fachwissen, die Reife und die Ressourcen verfügt, um eine Autorität auf höchster Ebene zu betreiben. Google ist kein Unbekannter in Bezug auf die Anforderungen einer vertrauenswürdigen Zertifizierungsstelle, die im Laufe der Jahre TLS-Zertifikate für Google-Domains ausgestellt hat, und das Unternehmen war stark am CA / Browser-Forum beteiligt, um das "höchste Maß an Sicherheit für das Internet" zu fördern, sagte Doug Beattie, Vizepräsident bei der Zertifizierungsstelle GlobalSign. Google sei "gut ausgebildet, was es bedeutet, eine Zertifizierungsstelle zu sein", sagte er.

Google hat außerdem Certificate Transparency eingeführt, ein öffentliches Register vertrauenswürdiger Zertifikate, das geprüft und überwacht werden kann. Während CT Google ursprünglich die Kontrolle darüber überlassen hat, ob jemand betrügerische Google-Zertifikate ausgestellt hat, bedeutet dies auch, dass jeder die Art der von Google ausgestellten Zertifikate im Auge behalten kann. Transparenz geht in beide Richtungen.

Google wird jedoch zu einer Stammzertifizierungsstelle, sodass offiziell angegeben werden kann, welche Dienste und Produkte Google sind. Root-CA zu werden bedeutet nicht, dass Google Zertifikate an Nicht-Google-Parteien ausstellt. Wenn dies der Fall ist, lohnt es sich, noch einmal zu diskutieren, ob Google seine massive Kontrolle über die Internetinfrastruktur zu Unrecht ausnutzt. Bis dahin sagt Google nur, dass es sich um Google handelt.