Wissen & Praxis

HTTPS Blacklists

Apple, Mozilla und Let’s Encrypt forderten Ende 2022 gemeinsam die Einführung einer zentralen Sperrliste für kompromittierte SSL/TLS-Zertifikate. Google — dessen Browser Chrome über 60 Prozent Marktanteil hält — hat sich zu dem Vorschlag zunächst nicht geäußert. Die Initiative wirft eine grundlegende Frage auf: Wie kann das Ökosystem der Web-Verschlüsselung mit kompromittierten Zertifikaten umgehen, ohne die Performance und Verfügbarkeit des Internets zu beeinträchtigen?

Was SSL/TLS-Zertifikate leisten — und wo das Problem liegt

SSL/TLS-Zertifikate sind das Fundament der Web-Verschlüsselung. Sie stellen sicher, dass die Verbindung zwischen Browser und Webserver verschlüsselt ist (das Schloss-Symbol in der Adressleiste) und dass die Website tatsächlich dem angegebenen Betreiber gehört. Zertifikate werden von Certificate Authorities (CAs) wie Let’s Encrypt, DigiCert oder Sectigo ausgestellt.

Das Problem entsteht, wenn Zertifikate kompromittiert werden — etwa durch gestohlene Private Keys, fehlkonfigurierte Server oder kompromittierte CAs. In solchen Fällen muss das Zertifikat widerrufen werden. Aber wie erfährt der Browser, dass ein Zertifikat ungültig ist?

CRL und OCSP: Die gescheiterten Ansätze

Historisch gab es zwei Mechanismen:

Certificate Revocation Lists (CRL): Eine zentrale Liste aller widerrufenen Zertifikate, die Browser regelmäßig herunterladen. In den Anfängen des Web funktionierte das. Mit dem exponentiellen Wachstum der Zertifikatszahlen wurden CRLs zu groß und zu langsam — und wurden von den meisten Browsern aufgegeben
Online Certificate Status Protocol (OCSP): Der Browser fragt bei jedem Seitenaufruf den OCSP-Server der CA, ob das Zertifikat noch gültig ist. Das erzeugt Latenz, Datenschutzprobleme (die CA erfährt, welche Websites der Nutzer besucht) und funktioniert nicht, wenn der OCSP-Server nicht erreichbar ist. Die meisten Browser implementieren daher Soft-Fail: Wenn der OCSP-Server nicht antwortet, wird das Zertifikat trotzdem akzeptiert

Das Ergebnis: In der Praxis werden widerrufene Zertifikate von vielen Browsern stillschweigend akzeptiert.

Der Vorschlag: CRLite und kompakte Sperrlisten

Der Vorstoß von Apple, Mozilla und Let’s Encrypt zielt auf eine verbesserte Technologie: komprimierte Sperrlisten, die lokal im Browser vorgehalten und regelmäßig aktualisiert werden. Mozilla entwickelt mit CRLite einen Ansatz, der die gesamte Widerrufsinformation des Web-PKI-Ökosystems in eine Datenstruktur von wenigen Megabyte komprimiert. Updates werden inkrementell ausgeliefert — ähnlich wie Virendefinitionen.

Der Vorteil: Kein OCSP-Lookup bei jedem Seitenaufruf, keine Latenz, kein Datenschutzproblem, kein Soft-Fail. Der Browser hat die Information lokal und kann kompromittierte Zertifikate zuverlässig blockieren.

Warum Googles Position entscheidend ist

Chrome hat mit über 60 Prozent den größten Marktanteil unter den Desktop-Browsern. Ohne Chromes Unterstützung bleibt jede Sperrlisten-Initiative lückenhaft. Google verfolgt mit CRLSets einen eigenen Ansatz — eine kuratierte, kleinere Liste besonders kritischer Widerrufe. Kritiker bemängeln, dass CRLSets nur einen Bruchteil der widerrufenen Zertifikate abdecken.

Google hat inzwischen angekündigt, OCSP-Checks in Chrome vollständig abzuschaffen, da sie in der Praxis keinen effektiven Schutz bieten. Ob Chrome auf CRLite oder eine vergleichbare Technologie umschwenkt, ist offen.

Relevanz für Unternehmen

Für Unternehmen hat die Zertifikats-Thematik praktische Konsequenzen:

Zertifikatsmanagement: Unternehmen müssen ihre eigenen Zertifikate aktiv verwalten — Ablaufdaten überwachen, kompromittierte Zertifikate zeitnah widerrufen und Private Keys sicher speichern
Certificate Transparency Monitoring: Dienste wie crt.sh ermöglichen es, neu ausgestellte Zertifikate für die eigenen Domains zu überwachen. Unautorisiert ausgestellte Zertifikate können ein Hinweis auf DNS-Hijacking oder CA-Kompromittierung sein
Phishing-Erkennung: Das Schloss-Symbol allein ist kein Sicherheitsindikator. Auch Phishing-Seiten verwenden gültige SSL-Zertifikate — Let’s Encrypt stellt Zertifikate automatisiert und kostenlos aus. Mitarbeiter müssen wissen, dass HTTPS lediglich die Verschlüsselung der Verbindung garantiert, nicht die Legitimität der Website

Juliane Heinen

Das Schloss-Symbol ist kein Sicherheitsindikator — und Zertifikatswiderruf funktioniert nicht zuverlässig

Zertifikatsmanagement ist ein unterschätzter Baustein der Angriffsoberfläche.

Viele Unternehmen verlassen sich darauf, dass Browser kompromittierte Zertifikate automatisch erkennen. Die Realität: OCSP funktioniert in der Praxis nicht zuverlässig, und die meisten Browser akzeptieren widerrufene Zertifikate im Soft-Fail-Modus stillschweigend.

Für Unternehmen bedeutet das zwei Dinge:

1. Eigene Zertifikate aktiv verwalten: Ablaufdaten überwachen, Private Keys sicher speichern, kompromittierte Zertifikate sofort widerrufen. Bei NEOSEC integrieren wir Certificate Transparency Monitoring in unser SIEM — unautorisiert ausgestellte Zertifikate für Kunden-Domains werden in Echtzeit erkannt.

2. Mitarbeiter aufklären: HTTPS und das Schloss-Symbol garantieren Verschlüsselung — nicht Legitimität. Auch Phishing-Seiten nutzen gültige SSL-Zertifikate. Dieses Verständnis muss Teil jedes Awareness-Trainings sein.

Wissen Sie, wer Zertifikate für Ihre Domains ausstellt? Wir überwachen das für Sie.

Mozilla Security Blog — CRLite
Let’s Encrypt
Zscaler VPN Risk Report 2022

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?