Certificate Transparency Deployment Study

Abstract

Um Webserver-Zertifikate auditierbar zu machen, erweitert Certficate Transparency (CT) das TLS-Ökosystem um sogenannte CT-Logs, welche ein nicht löschbares, öffentliches Verzeichnis darstellen. Das Hinzufügen eines Zertifikats in ein CT-Log wird durch einen sogenannten Signed Certificate Timestamp (SCT) quittiert. Mit dem Übermitteln von zugehörigen SCTs zusammen mit dem Webserver-Zertifikat wird die Auditierbarkeit beim TLS-Handshake nachgewiesen. In dieser Arbeit wird die Verbreitung und die zeitliche Entwicklung der Verbreitung von CT im produktiven Einsatz analysiert. Die Anzahl der Zertifikate in CT-Logs hat exponentiell zugenommen. Website-Support von CT hat in den vergangenen zwölf Monaten von 26% auf gegenwärtig 58% zugenommen für die populärsten Domains, die per HTTPS erreichbar sind.

Certificate Transparency (CT) extends the TLS ecosystem by so-called CT logs which represent an append-only public register in order to makewebserver certificates auditable. The adding of a certificate into a CT log will be receipt by a so-called Signed Certificate Timestamp (SCT). At the TLS handshake, together with the webserver certificate, the transmission of the corresponding SCTs prove the availability for auditing. In this thesis, we analyze the deployment of CT and its evolution over time. The number of certificates in CT logs have seen exponentional growth. Website support for CT has increased over a period of twelf month from 26% to currently 58% for the most popular domains which are accessible via HTTPS.