Worum geht es bei der Überwachung der Zertifikattransparenz?

Hier erfahren Sie, wie durch Überwachung der Zertifikattransparenz die Sichtbarkeit von SSL-Zertifikaten ermöglicht wird, die für Ihre Domains bereitgestellt werden.


Überblick

Eine Website wird von den wichtigsten Browsern anhand eines SSL-Zertifikats als vertrauenswürdig eingestuft. Ein SSL-Zertifikat trägt dazu bei, die Identität der Website nachzuweisen, und garantiert sichere Verbindungen, bevor der Client oder Browser Inhalte sendet.

Wenn Zertifizierungsstellen Zertifikate ausstellen, wird die Ausstellung in öffentlichen Zertifikattransparenz-(CT)-Protokollen festgehalten. CT-Protokolle sind große Datenbanken, die von Cloudflare, Google und anderen Instanzen verwaltet werden und in denen alle gültigen Zertifikate gemeinsam dokumentiert sind. Cloudflares Zertifikattransparenz-Überwachung schickt Ihnen jedes Mal eine E-Mail-Benachrichtigung, wenn Ihre Domain in einem CT-Protokoll erkannt wird. Die CT-Überwachung benachrichtig Sie also jedes Mal, wenn ein SSL-Zertifikat für Ihre Domain erstellt wird, und ermöglicht Ihnen, die Legitimität neuer SSL-Zertifikate zu bestätigen.

Die CT-Überwachung erkennt keine Phishing-Versuche. Zum Beispiel würde kein Alarm für cloudflare.com ausgelöst werden, wenn ein Zertifikat für cloudf1are.com oder cloud-flare.com ausgegeben wird.

Aktivierung von Benachrichtigungen zur Zertifikattransparenz

Benachrichtigungen sind standardmäßig deaktiviert, werden jedoch über die Überwachung der Zertifikattransparenz in der Cloudflare-App SSL/TLS aktiviert. Benachrichtigungen für Free- und Pro-Domains sind auf maximal 10 pro Woche begrenzt und werden an alle Mitglieder mit einem Cloudflare-Konto geschickt, die innerhalb eines gemeinsamen Kontozugangs festgelegt sind. Bei Business- und Enterprise-Domains können bis zu 10 E-Mail-Adressen zum Erhalt von CT-Benachrichtigungen konfiguriert werden. Die E-Mail-Adressen müssen nicht mit einem Cloudflare-Konto in Verbindung stehen, und die Benachrichtigungen sind auf 200 pro Woche begrenzt.

Benachrichtigungsbegrenzungen werden pro Zertifikat gezählt, nicht nach der Anzahl verschickter E-Mails. Zum Beispiel zählt eine Benachrichtigung für www.example.com, die an 5 Empfänger verschickt wird, nur als 1 Benachrichtigung.
Durch Einrichtung eines E-Mail-Alias können Sie E-Mails an mehr als 10 Personen schicken, zum Beispiel: ct-alerts@yourcompany.com.

Um CT-Benachrichtigungen für Free- und Pro-Domains zu deaktivieren, stellen Sie die Überwachung der Zertifikattransparenz in der SSL/TLS-App des Cloudflare-Dashboards auf Aus. Für Business- und Enterprise-Domains entfernen Sie alle konfigurierten E-Mail-Adressen aus der Funktion zur Überwachung der Zertifikattransparenz.


Maßnahmen gegen böswillige SSL-Zertifikate

Die meisten Zertifikatbenachrichtigungen sind Routineaktionen. Zum Beispiel laufen Zertifikate ab und müssen neu ausgegeben werden. Wenn Ihre Domain in der E-Mail zusammen mit erkennbaren Besitz- und Zertifikatinformationen aufgeführt ist, sind keine Maßnahmen erforderlich.

In den folgenden Fällen müssen jedoch Maßnahmen ergriffen werden:

  • Sie erkennen den Aussteller des Zertifikats nicht.
  • Sie bemerken Probleme mit Ihrer Website zu der Zeit, als Sie die CT-Benachrichtigung erhalten haben.

Böswillige Aktivität kann schwer zu erkennen sein. Seien Sie also vorsichtig. Befolgen Sie die nachstehenden Empfehlungen, wenn Sie ein Problem bemerken:


Verwandte Ressourcen

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk