Der Lebenszyklus von Zertifikaten wird verkürzt
Der Lebenszyklus von Zertifikaten wurde bereits im März 2018 von 39 auf 27 Monate verkürzt, aber nun sieht der jüngste Vorschlag des CA/Browser Forums vor, den Lebenszyklus von HTTPS- Zertifikaten ab März 2020 auf nur 13 Monate zu reduzieren, um die Sicherheit zu verbessern. Dies soll es Kriminellen schwieriger machen gestohlene Zertifikate zu missbrauchen, da die Zeitspanne, während der jene gültig sind, verkürzt wird. Es könnte Unternehmen auch zwingen, die neuesten und sichersten der verfügbaren Verschlüsselungs-Algorithmen zu verwenden.
Gleichzeitig sehen Unternehmen aber, wie die Nutzung von Zertifikaten dramatisch zunimmt
Obwohl der Vorschlag, die Lebenszeit von TLS/SSL-Zertifikaten zu verkürzen, möglicherweise die IT-Sicherheit bis zu einem gewissen Punkt verbessern wird, raten einige Experten den Unternehmen eindringlich, zusätzliche Schutzmaßnahmen zu implementieren, um die Sicherheit innerhalb ihrer Netzwerke zu erhöhen. „Nachdem der Lebenszyklus von Zertifikaten im Jahr 2018 bereits auf 27 Monate reduziert wurde, würde der neue Vorschlag des CA Browser Forums diesen noch weiter auf nur 13 Monate verkürzen.
Die einzige Möglichkeit, wie Firmen mit diesen beiden Änderungen Schritt halten können, besteht darin, in ein automatisiertes Programm zum Schutz der Maschinenidentitäten zu investieren. Wenn Sie davon ausgehen, dass der Druck auf die Lebensdauer von Zertifikaten anhält, während die Nutzung von Zertifikaten weiter zunehmen wird, ist diese Investition die einzige Möglichkeit, wie Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig bleiben können.“ Ash Pala, Sicherheitsarchitekt bei Venafi „Viele Faktoren beeinflussen die Sicherheit der TLS-Zertifikate auf öffentlich zugänglichen Websites. Einerseits hat das CA Browser-Forum einen guten Grund, den Lebenszyklus von Zertifikaten auf 13 Monate zu verkürzen, andererseits gibt es starke Argumente von Troy Hunt und anderen Sicherheitsforschern über den Wert von EV-Zertifikaten. Wie ich das beobachte, ist die Begrenzung der Lebensdauer von öffentlich zugänglichen Zertifikaten auf 13 Monate im Allgemeinen im Einklang mit den Richtlinien und Zielen von Unternehmen, die den agilen oder DevOps-Ansatz für ihre interaktiven und transaktionalen Websites übernommen haben, wo das Volumen der kurzlebigen Zertifikate weiter steigt. Das von DigiCert vorgetragene Gegenargument, dass die Nutzung von Zertifikaten auf gefälschten Websites zunimmt und dass diese sehr kurzlebigen Domains speziell für böswillige Absichten entwickelt wurden, ist in vielerlei Hinsicht ein ganz anderes Problem, das den Lebenszyklus von Zertifikaten nicht beeinflusst.“ Mark Miller, Director of Customer Support bei Venafi:
Wir wissen bereits, was passiert, wenn Änderungen an der Lebensdauer von Zertifikaten auf den Markt gebracht werden
Große Unternehmen holen sich einfach eine Ausnahme, zahlen vielleicht ein wenig zusätzliches Geld und fahren dann mit dem Business-as-usual fort. Ich stimme DigiCert zu, dass die Kontrolle der Lebensdauer von Zertifikaten als Sicherheitsmaßnahme nur theoretisch ist. In der Praxis werden dagegen jene Unternehmen die Risiken für ihre IT-SIcherheit erheblich reduzieren, die ihre Sicherheitskontrollen und -richtlinien tatsächlich durchsetzen und die Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken – und das ist überhaupt nicht theoretisch.
Die digitalen Zertifikate dienen als Maschinenidentitäten, um sicher mit anderen Maschinen zu kommunizieren und autorisierten Zugriff auf Anwendungen und Dienste zu erhalten. Wenn Unternehmen mangels Transparenz in der IT-Infrastruktur keinen Überblick haben, wie viele Maschinenidentitäten verwendet werden, welche Geräte sie verwenden und wann sie ablaufen, ist das offensichtlichste Ergebnis ein Ausfall, sobald diese Maschinenidentitäten tatsächlich ablaufen.“
Die Ergebnisse einer aktuellen Studie:
- Fast zwei Drittel der Unternehmen, 60 Prozent, erlebten zertifizierungsbedingte Ausfälle, die
sich im letzten Jahr auf kritische Geschäftsanwendungen oder -dienste ausgewirkt haben. 74
Prozent wurden in den letzten 24 Monaten mit ähnlichen Ereignissen konfrontiert. - Fast 80 Prozent schätzen, dass der Einsatz von Zertifikaten in ihren Unternehmen in den
nächsten fünf Jahren um 25 Prozent oder mehr wachsen wird, wobei mehr als die Hälfte mit
minimalen Wachstumsraten von mehr als 50 Prozent rechnet. - 85 Prozent der CIOs glauben, dass die zunehmende Komplexität und Interdependenz von IT-
Systemen die Ausfälle in Zukunft noch schmerzhafter machen wird. - Während 50 Prozent der CIOs befürchten, dass sich zertifizierungsbedingte Ausfälle auf das
Kundenerlebnis auswirken, sind 45 Prozent über den Zeit- und Ressourcenverbrauch besorgt.
Darüber hinaus entstehen mit dem Ablauf der Zertifikate gefährliche Schwachstellen, über die Kriminelle in das System gelangen können, um beispielweise TLS/SSL Zertifikate zu stehlen, die später
im Darknet zu Preisen zwischen 260 und 1.600 US-Dollar verkauft werden. Der Einsatz eines Programms zum Schutz von Maschinenidentitäten, das größere Transparenz, Intelligenz und Automatisierung in das Netzwerk einbringt du über den gesamten Lebenszyklus aller Zertifikate bietet, ist ein sicherer und praktischer Weg, um zertifikatsbezogene Ausfälle zu vermeiden.
Quelle: Kafka Kommunikation GmbH & Co KG