Zertifikats-Management
Crash mit Ansage
Zertifikate stellen einen wichtigen Baustein für die sichere Kommunikation von Websites, Applikationen oder auch M2M-Umgebungen (Machine to Machine) dar. Jedoch laufen jeden Tag Tausende dieser Zertifikate ab, sodass sich keine Verbindung zu den betroffenen Diensten aufbauen lässt – die Dienste fallen aus. Unternehmen sollten solche „Blackouts“ vermeiden, indem sie ihre Zertifikate zentral und automatisiert verwalten und überwachen.
Von der Unternehmens-Website über im Netz angebotenen Dienste bis hin zu Machine-to-Machine-Umgebung (M2M) sollten die Verbindung und die Kommunikation für beide Seiten vertrauenswürdig erfolgen. TLS (Transport Layer Security, oft noch unter dem Vorgängernamen Secure Sockets Layer oder kurz SSL bekannt) hat sich als Standard für die Umsetzung dieser Anforderungen erwiesen und etabliert. Eine wesentliche Grundlage des Verfahrens ist der Einsatz von X.509-Zertifikaten zur Identifikation und Authentifizierung der Kommunikationsteilnehmer und als Wegbereiter der Verschlüsselung.
Damit Zertifikate, die im Wesentlichen die Identität der Kommunikationsteilnehmer bestätigen, vertrauenswürdig bleiben, sind diese mit einem Ablaufdatum versehen. Läuft ein TLS-Zertifikat ab, ohne dass der Betreiber rechtzeitig für Ersatz sorgt, kommt es unweigerlich zum Ausfall der Verbindungen zwischen den Diensten. Während solche Vorfälle bei nachgelagerten unkritischen Diensten längere Zeit unbemerkt bleiben können, kommt es im Fall relevanterer Services oft zu öffentlichkeitswirksamen Ausfällen, die sogar geschäftskritisch sein können. Solche Ausfälle gab es schon bei Epic Games, Microsoft Teams und Google Voice. Aufgrund der gestiegenen Nutzung von Cloud-Angeboten und veränderter IT-Strategien benötigen Unternehmen heutzutage Hunderte bis Tausende von TLS-Zertifikaten. Haben wir es seit September 2020 im Umfeld der Website-Zertifikate mit einer Gültigkeit von maximal einem Jahr zu tun, so sehen wir bei digitalen Signaturen das die Zertifikate mit Laufzeiten von vier Jahren und länger zum Einsatz kommen.
Auch Service-Zertifikatslaufzeiten von unter 90 Tagen sind heutzutage weit verbreitet. Im Wesentlichen bestätigt die wiederkehrende Identitätsprüfung durch die Zertifizierungsstelle die Vertrauenswürdigkeit. Bei der Erneuerung eines TLS-Zertifikats sind sehr oft abteilungs- oder gar unternehmensübergreifende Prozesse abzuarbeiten, von der Lokalisierung des TLS-Zertifikats bis hin zur Identifikation des Besitzers. Dazu kommt noch der Beschaffungsprozess für das erneuerte Zertifikat.
Sisyphus-Arbeit
Die manuelle Verwaltung und der Ersatz jedes einzelnen Zertifikats in der Infrastruktur grenzt heutzutage an eine schier unlösbare Aufgabe für die IT-Sicherheits- und PKI-Teams (Public Key Infrastructure). Bei einer Umfrage von Keyfactor verzeichneten 88 Prozent der befragten Unternehmen ungeplante Ausfälle aufgrund abgelaufener Zertifikate. Im Durchschnitt kam eine Organisation auf über drei Vorfälle innerhalb von zwei Jahren. 40 Prozent dieser Unternehmen gaben an, dass sie mit hoher Wahrscheinlichkeit auch künftig weitere Ausfälle erwarten.
IT- und Sicherheitsverantwortliche neigen dazu, den Ausfall von Zertifikaten als ein unerwartetes Ereignis zu betrachten. Allerdings handelt es sich bei diesen Vorfällen um nicht verstandene und nicht verwaltete Aufgaben, die IT-Teams sehr oft ad hoc
in manuellen Prozessen abarbeiten. Der Schlüssel, um Ausfälle der Infrastruktur und Services zu vermeiden und diese Aufgabe zu bewältigen, liegt in der Automatisierung des Lebenszyklus von Zertifikaten.
Wenn Unternehmen diesen Lebenszyklus automatisieren, können sie zeitaufwendige Prozesse und menschliche Fehler reduzieren. Ebenso erhalten sie die Möglichkeit, jedes Zertifikat nachzuverfolgen, die notwendigen Workflows für den Zertifikatswechsel zu definieren und sie bis zur Installation an den Endpunkten zu automatisieren. Darüber hinaus können sie die Nutzung von nicht richtlinienkonformen, unbekannten, selbstsignierten und Wildcard-Zertifikaten einschränken oder verhindern. So lassen sich Risiko und Auswirkungen eines Ausfalls erheblich minimieren.
- Crash mit Ansage
- Zertifikate und Transparenz
Lesen Sie mehr zum Thema
