Verbesserung der Web-PKI-Sicherheit: Wie SCTNotAfter weit verbreitete Zertifikatfehler verhindert
In der Vergangenheit führten Misstrauensereignisse für Zertifizierungsstellen (CAs) aufgrund weit verbreiteter Zertifikatfehler zu erheblichen Störungen. Mit Certificate Transparency (CT)-Logs und kürzeren Zertifikatslebenszyklen hat sich die Situation jedoch verbessert. Der neue SCTNotAfter-Mechanismus bietet eine kryptografische Absicherung des "NotBefore"-Datums des Zertifikats, sodass das Misstrauen erst nach einem zukünftigen Datum auf von der CA ausgestellte Zertifikate angewendet werden kann. Dies gibt Benutzern Zeit für die Umstellung. Dieser Ansatz wurde von Chrome erfolgreich bei der Behandlung von GLOBALTRUST und Entrust eingesetzt und minimiert Benutzerunterbrechungen, während gleichzeitig die Sicherheit von Web PKI und die Benutzererfahrung verbessert werden.