„Passwort“ Folge 36: Vollständig zertifizierte News

In der vorhergehenden Folge wurde es bereits angedroht versprochen, nun ist es tatsächlich so weit: Eine ganze Folge mit Neuigkeiten über Public-Key-Zertifikate. Los geht es aber nicht mit der Web-PKI, sondern einem Anbieter von VoIP-Telefonen, der die Konfiguration dieser Telefone – verständlicherweise – mit Zertifikaten absichert. Leider enthält jedes Telefon auch gleich eine passende Zertifizierungsstelle samt privatem Schlüssel – was weit weniger verständlich und vor allem sehr unsicher ist. Die Podcast-Hosts Christopher und Sylvester diskutieren, was es damit auf sich hat.

Weiter geht es mit zwei sehr viel erfreulicheren Nachrichten, die beide von der Web-CA Let’s Encrypt ausgehen. Die hat zum einen ihr erstes produktives Zertifikat für eine IP-Adresse ausgestellt. Die Hosts sehen darin zwar eine ziemliche Nischenanwendung und können nur manche der vorgeschlagenen Anwendungsfälle nachvollziehen, aber in diesen Fällen sind IP-Zertifikate eine schöne Option.

Zum anderen macht „Static-CT“ große Fortschritte. Diese neue Spezifikation für Certificate Transparency (CT) ging aus dem Projekt Sunlight hervor, dessen Entwicklung Let’s Encrypt finanziert hat und das die CA nun auch selbst einsetzt. Christopher und Sylvester besprechen, welche Vorteile Sunlight und Static-CT mit sich bringen und warum diese Verbesserungen sehr willkommen sind.

Im weiteren Verlauf der Folge geht es um eine Bibliothek, die sich fatal an der Einführung von Static-CT verschluckt hatte, und um andere Mechanismen in der Web-PKI, die nicht rund laufen: Wieder mal sind große Zertifizierungsstellen bei teilweise groben Fehlern erwischt worden und mussten sich dem Zorn der Browserentwickler stellen. Außerdem schneiden die Hosts „X9 Financial PKI“ an, eine neue Public-Key-Infrastruktur, mit der DigiCert dem Finanzsektor maßgeschneiderte Services bieten will. Kundeninteresse weckt das natürlich besonders dann, wenn die X9-PKI Dinge ermöglicht, die in der Web-PKI nicht erlaubt sind.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)