Hier erfahren Sie, wie durch Überwachung der Zertifikattransparenz die Sichtbarkeit von SSL-Zertifikaten ermöglicht wird, die für Ihre Domains bereitgestellt werden.
Überblick
Eine Website wird von den wichtigsten Browsern anhand eines SSL-Zertifikats als vertrauenswürdig eingestuft. Ein SSL-Zertifikat trägt dazu bei, die Identität der Website nachzuweisen, und garantiert sichere Verbindungen, bevor der Client oder Browser Inhalte sendet.
Wenn Zertifizierungsstellen Zertifikate ausstellen, wird die Ausstellung in öffentlichen Zertifikattransparenz-(CT)-Protokollen festgehalten. CT-Protokolle sind große Datenbanken, die von Cloudflare, Google und anderen Instanzen verwaltet werden und in denen alle gültigen Zertifikate gemeinsam dokumentiert sind. Cloudflares Zertifikattransparenz-Überwachung schickt Ihnen jedes Mal eine E-Mail-Benachrichtigung, wenn Ihre Domain in einem CT-Protokoll erkannt wird. Die CT-Überwachung benachrichtig Sie also jedes Mal, wenn ein SSL-Zertifikat für Ihre Domain erstellt wird, und ermöglicht Ihnen, die Legitimität neuer SSL-Zertifikate zu bestätigen.
Aktivierung von Benachrichtigungen zur Zertifikattransparenz
Benachrichtigungen sind standardmäßig deaktiviert, werden jedoch über die Überwachung der Zertifikattransparenz in der Cloudflare-App SSL/TLS aktiviert. Benachrichtigungen für Free- und Pro-Domains sind auf maximal 10 pro Woche begrenzt und werden an alle Mitglieder mit einem Cloudflare-Konto geschickt, die innerhalb eines gemeinsamen Kontozugangs festgelegt sind. Bei Business- und Enterprise-Domains können bis zu 10 E-Mail-Adressen zum Erhalt von CT-Benachrichtigungen konfiguriert werden. Die E-Mail-Adressen müssen nicht mit einem Cloudflare-Konto in Verbindung stehen, und die Benachrichtigungen sind auf 200 pro Woche begrenzt.
Um CT-Benachrichtigungen für Free- und Pro-Domains zu deaktivieren, stellen Sie die Überwachung der Zertifikattransparenz in der SSL/TLS-App des Cloudflare-Dashboards auf Aus. Für Business- und Enterprise-Domains entfernen Sie alle konfigurierten E-Mail-Adressen aus der Funktion zur Überwachung der Zertifikattransparenz.
Maßnahmen gegen böswillige SSL-Zertifikate
Die meisten Zertifikatbenachrichtigungen sind Routineaktionen. Zum Beispiel laufen Zertifikate ab und müssen neu ausgegeben werden. Wenn Ihre Domain in der E-Mail zusammen mit erkennbaren Besitz- und Zertifikatinformationen aufgeführt ist, sind keine Maßnahmen erforderlich.
In den folgenden Fällen müssen jedoch Maßnahmen ergriffen werden:
- Sie erkennen den Aussteller des Zertifikats nicht.
- Sie bemerken Probleme mit Ihrer Website zu der Zeit, als Sie die CT-Benachrichtigung erhalten haben.
Böswillige Aktivität kann schwer zu erkennen sein. Seien Sie also vorsichtig. Befolgen Sie die nachstehenden Empfehlungen, wenn Sie ein Problem bemerken:
Nur Zertifizierungsstellen sind befugt, böswillige Zertifikate zu widerrufen. Wenn Sie glauben, dass ein falsches Zertifikat für Ihre Domain ausgestellt wurde, sollten Sie die Zertifizierungsstelle kontaktieren, die in der E-Mail-Benachrichtigung als Aussteller aufgeführt ist. Hier sind die Kontakt-Links für einige wichtige Zertifizierungsstellen:
- DigiCert: https://www.digicert.com/support/#Contact
- GlobalSign: https://www.globalsign.com/en/company/contact/support/
- GoDaddy: https://www.godaddy.com/contact-us?sp_hp=B
- IdenTrust: https://www.identrust.com/support/support-team
- Let’s Encrypt: https://letsencrypt.org/contact/
- Sectigo: https://sectigo.com/support
Domain-Registrare können potentiell böswillige Domains sperren. Wenn Sie zum Beispiel eine böswillige Domain bemerken, die über GoDaddy registriert ist, sollten Sie GoDaddys Support-Team für Unterstützung kontaktieren.
Es gibt noch andere Methoden, um böswillige Zertifikate zu bekämpfen. Sie können Ihre Besucher mit einem Hinweis auf der Website warnen, Sie können versuchen, Domains auf eine Blacklist zu setzen, indem Sie die Browser-Hersteller kontaktieren (Google für Chrome, Apple für Safari usw.), oder Sie können den Cloudflare-Support kontaktieren.