ZURÜCK ZU NACHRICHTEN
ForschungKritisch

Chrome Root Program: Unsichere Domain-Validierung für HTTPS-Zertifikate wird schrittweise abgeschafft

3 Min. LesezeitQuelle: Google Security Blog

Das Chrome Root Program und das CA/Browser Forum setzen auf moderne, kryptografisch sichere Domain-Validierungsmethoden und schaffen 11 veraltete Verfahren bis März 2028 ab.

Chrome Root Program stärkt HTTPS-Sicherheit durch Abschaffung veralteter Domain-Validierungsmethoden

Mountain View, CA – Das Chrome Root Program und das CA/Browser Forum haben eine bedeutende Sicherheitsverbesserung für das moderne Web angekündigt: Neue Anforderungen werden 11 veraltete Domain Control Validation (DCV)-Methoden für HTTPS-Zertifikate bis März 2028 schrittweise abschaffen. Diese Änderungen, initiiert durch die CA/Browser-Forum-Abstimmungen (SC-080, SC-090 und SC-091), zielen darauf ab, schwächere Verifizierungsverfahren – wie E-Mail-, Telefon- oder Post-basierte Validierung – durch automatisierte, kryptografisch überprüfbare Alternativen zu ersetzen. Die vollständige Umstellung gibt Website-Betreibern ausreichend Zeit zur Anpassung.

Warum Domain Control Validation entscheidend ist

Die Domain Control Validation (DCV) ist ein kritischer Sicherheitsprozess, der sicherstellt, dass TLS-Zertifikate nur an legitime Domain-Betreiber ausgestellt werden. Ohne robuste DCV könnten Angreifer Zertifikate für Domains erschleichen, die sie nicht kontrollieren, was Impersonation-Angriffe oder Traffic-Interception ermöglicht. Historisch setzten Certificate Authorities (CAs) auf indirekte Validierungsmethoden wie WHOIS-Abfragen oder E-Mail-basierte Verifizierung, die sich als anfällig für Exploits erwiesen haben (z. B. WatchTowrs RCE-zu-Domain-Übernahme-Angriff).

Moderne DCV-Methoden nutzen Challenge-Response-Mechanismen, etwa das Hinterlegen eines Zufallswerts in einem DNS-TXT-Eintrag oder das Automated Certificate Management Environment (ACME)-Protokoll (RFC 8555). Diese Ansätze bieten stärkere, auditierbare Nachweise für Domain-Besitz und ermöglichen gleichzeitig eine Automatisierung für ein effizienteres Zertifikats-Lifecycle-Management.

Abgeschaffte Validierungsmethoden

Die folgenden veralteten DCV-Methoden werden unter den neuen Anforderungen schrittweise abgeschafft:

E-Mail-basierte Validierung (wird eingestellt)

  • E-Mail, Fax, SMS oder Post an Domain-Kontakt
  • E-Mail, Fax, SMS oder Post an IP-Adress-Kontakt
  • Konstruierte E-Mail an Domain-Kontakt
  • E-Mail an DNS-CAA-Kontakt
  • E-Mail an DNS-TXT-Kontakt

Telefon-basierte Validierung (wird eingestellt)

  • Telefonischer Kontakt mit Domain-Kontakt
  • Telefonischer Kontakt mit DNS-TXT-Eintrag-Telefonkontakt
  • Telefonischer Kontakt mit DNS-CAA-Telefonkontakt
  • Telefonischer Kontakt mit IP-Adress-Kontakt

Reverse-Lookup-Validierung (wird eingestellt)

  • IP-Adress-Validierung
  • Reverse-Adress-Lookup

Auswirkungen und Branchenwandel

Während diese Änderungen für Endnutzer transparent bleiben, reduzieren sie die Angriffsfläche erheblich, indem sie die Abhängigkeit von veralteten oder indirekten Validierungssignalen – wie veralteten WHOIS-Daten oder geerbter Infrastruktur – beseitigen. Die Umstellung steht im Einklang mit Googles „Moving Forward, Together“-Roadmap, die 2022 eingeführt wurde und die Modernisierung der Sicherheitsinfrastruktur durch Automatisierung und standardisierte Protokolle wie ACME betont.

Für Website-Betreiber bietet die schrittweise Abschaffung einen mehrjährigen Übergangszeitraum, um stärkere DCV-Methoden einzuführen. Organisationen werden aufgefordert:

  • Auf ACME-basierte Zertifikatsausstellung (z. B. Let’s Encrypt) umzusteigen, um automatisierte, kryptografisch sichere Validierung zu nutzen.
  • Bestehende Zertifikatsausstellungs-Workflows zu prüfen, um veraltete DCV-Methoden zu identifizieren und zu ersetzen.
  • DNS-basierte Challenges (z. B. DNS-TXT-Einträge) für eine widerstandsfähigere Domain-Verifizierung zu nutzen.

Breitere Sicherheitsimplikationen

Diese Initiative ist Teil eines branchenweiten Bestrebens, den Sicherheitsstandard für HTTPS-Zertifikate zu erhöhen. Durch die Abschaffung schwächerer Validierungsmethoden reduzieren das CA/Browser Forum und das Chrome Root Program das Risiko betrügerischer Zertifikatsausstellung, die sonst Man-in-the-Middle (MITM)-Angriffe oder Domain-Spoofing ermöglichen könnte. Die Änderungen fördern zudem Agilität und Resilienz im Zertifikatsmanagement und ermöglichen schnellere Reaktionen auf neue Bedrohungen.

Mit der Weiterentwicklung des Webs stellen diese Updates sicher, dass Vertrauensmechanismen mit modernen Sicherheitsherausforderungen Schritt halten – zum Nutzen aller Nutzer, unabhängig von Browser oder Plattform.

Weiterführende Links:

Teilen

TwitterLinkedIn