Bereits im Juli des vergangenen Jahres haben sich mit den „Baseline Requirements“ alle im internationalen „Certification Authority Browser Forum“ (CA/Browser-Forum) zusammengeschlossenen Vertrauensdiensteanbieter auf einige grundlegende Sicherheitsanforderungen verständigt. Diese sehen unter anderem vor, dass ab kommendem Frühjahr von den weltweit genutzten Webbrowsern nur noch Zertifikate mit einer Schlüssellänge von mindestens 2.048 Bit und einer maximale Gültigkeitsdauer von fünf Jahren akzeptiert werden. Um diese und weitere Vorgaben überwachen und prüfen zu können, hat Google das Sicherheitsverfahren „Certificate Transparency“ entwickelt. Dessen Grundidee: In einem kryptografisch geschützten Log-System sollen alle für die sichere Internetkommunikation genutzten Zertifikate registriert und von zentralen Log-Servern verwaltet werden. Nachträgliche Veränderungen, Ergänzungen oder sonstige Manipulationen eines einmal registrierten Zertifikats wären damit ausgeschlossen bzw. würden von jedem Browser umgehend erkannt.
„Dieser insbesondere von Google Chrome vorangetriebene Ansatz wird künftig einen wichtigen Eckpfeiler der vertrauenswürdigen Internetkommunikation bilden“, kommentiert Dr. Kim Nguyen, Geschäftsführer der deutschen D-TRUST GmbH, ein Tochterunternehmen der Bundesdruckerei GmbH, die aktuelle Diskussion. „Allerdings werden die notwendigen Registrierungssysteme, so genannte „Certificate Logs“, bisher nur von US-amerikanischen Anbietern bereitgestellt, wobei wir es bei diesem stark reputationsbasierten Vertrauensmodell für immens wichtig halten, dass auch europäische Interessen berücksichtigt werden.“
Vor diesem Hintergrund haben sich die Akteure von D-TRUST, SwissSign und Izenpe zur Pilotierung eines eigenen Certificate Logs entschieden, das das Certificate Transparency Modell über eine komplett eigenständige Log-Infrastruktur unterstützen soll. „Wir verstehen unseren Vorstoß vor allem als einen Prozess der Klärung und potentiellen Erweiterung des Certificate Transparency Modells“, beschreibt Urs Fischer, CEO der Schweizer SwissSign, die Ziele der Initiative. Über den Betrieb eines ersten Test-Servers beim spanischen Partner Izenpe sollen neue Erkenntnisse gewonnen werden, um die Möglichkeiten einer souveränen europäischen Log-Infrastruktur konkreter als bisher diskutieren und auch mit global tätigen Webbrowseranbietern wie Google, Apple, Microsoft oder Mozilla abstimmen zu können. Dabei bleibt eines der wesentlichen Ziele der Initiative, dass die grün-hinterlegte Adresszeile des Browsers (green bar), die Internet-Nutzer auf eine vertrauenswürdige Verbindung hinweist, auch zukünftig die Interessen aller im internationalen CA/Browser-Forum vertretenen Anbietern spiegelt. Sollte sich allein das US-amerikanische Sicherheitsmodell durchsetzen, so die Befürchtung, könnten einzelne Zertifikate trotz hoher Sicherheitsstandards das bewährte Gütesiegel des grünen Extended-Validation-Logos verlieren.
