Aktuelles, Branche, Gastbeiträge, Produkte - geschrieben von am Mittwoch, Februar 19, 2020 16:13 - noch keine Kommentare

Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

Großer ist der Aufwand für die Erneuerung, die Neuausstellung und gegebenenfalls den Widerruf eines Zertifikats

Von unserem Gastautor Scott Carter, Senior Manager Marketing bei Venafi

[datensicherheit.de, 19.02.2020] Tagtäglich werden überall auf der Welt Milliarden von Maschinenidentitäten (digitale Zertifikate und kryptographische Schlüssel) ausgestellt, erneuert und widerrufen. Doch immer wieder schleichen sich in diese Prozesse Fehler ein, die dann teuer werden können, wenn es zu Ausfällen oder Sicherheitsvorfällen kommt. Deshalb beschäftigt sich der vorliegende Beitrag mit diesen drei grundlegenden Vorgängen, um den Verantwortlichen Tipps und Tricks an die Hand zu geben, quasi eine Schritt für Schritt Anleitung. Sobald ein Benutzer ein digitales Zertifikat von einer Zertifizierungsstelle (CA) erworben hat, kann er darüber verfügen wie er möchte. Das heißt jedoch nicht, dass er sich dann nicht mehr weiter darum kümmern muss. Denn für die Erneuerung von Zertifikaten ist er verantwortlich, ebenso wie für die eventuelle Neuausstellung oder den Widerruf.

  • Erneuerung: Die Zertifikatserneuerung ist ein Verfahren, mit dem ein Benutzer ein neues Zertifikat für den gleichen öffentlichen Schlüssel erwirbt, der in einem ablaufenden Zertifikat verwendet wird. Die meisten SSL-Zertifikate laufen ein Jahr nach Erwerb ab. Damit das Vertrauen der Webnutzer durchgehend gewahrt bleibt, sollten Zertifikatseigentümer planen, ein Zertifikat im letzten Quartal vor dem Ablauf zu erneuern. Die Erneuerung können sie anfordern, indem sie über das Hosting-Bedienfeld ihrer CA einen neuen Certificate Signing Request (CSR) erzeugen. Die CA wird diesen Antrag dann bearbeiten und die Schritte zur Identitätsprüfung im gleichen Zeitraum abschließen, der auch bei der Bearbeitung des CSR für ein neues Zertifikat erforderlich ist – vorausgesetzt, dass sich die Domain, der Name des Unternehmens und die sonstigen Angaben des Inhabers nicht geändert haben. Anschließend sendet die CA das Zertifikat an den zuständigen Ansprechpartner. Der Inhaber muss dann das neue Zertifikat installieren und konfigurieren, bevor er das alte elektronische Dokument entfernt.
  • Neuausstellung: Die Neuausstellung von Zertifikaten (auch Re-Keying genannt) ist ein Verfahren, bei dem ein Benutzer einen neuen privaten Schlüssel und einen CSR für ein vorhandenes Zertifikat erzeugt. Wie bei DNSimple erläutert, gibt es verschiedene Gründe, warum ein Benutzer ein Zertifikat neu ausstellen lassen muss: etwa, wenn er seinen privaten Schlüssel verloren oder gelöscht hat, wenn er Informationen zum Zertifikat ändern will oder wenn er die Verschlüsselungsstärke des Zertifikats ändern möchte. Sobald das Verfahren zur Neuausstellung abgeschlossen ist, wird ein neues digitales Zertifikat erstellt.
  • Widerruf: Manchmal wird der private Schlüssel eines Zertifikats unsicher. Die Zertifizierungsstelle Let’s Encrypt weist darauf hin, dass dies geschehen kann, wenn ein Benutzer den Schlüssel auf einer öffentlichen Website teilt oder wenn Hacker den Schlüssel von den Servern eines Unternehmens stehlen. In Fällen wie diesen kann der Benutzer das Zertifikat widerrufen. Daraufhin wird es annulliert und damit die HTTPS-Verbindung aus der Domain des Inhabers entfernt. Es ist dann Sache des Benutzers, ein neues digitales Zertifikat zu erwerben, zu installieren und zu konfigurieren.

Für ein Unternehmen ist es sehr arbeitsaufwändig, die Übersicht darüber zu wahren, wo sich alle digitalen Zertifikate befinden. Und noch größer ist der Aufwand für die Erneuerung, die Neuausstellung und gegebenenfalls den Widerruf eines Zertifikats. Letztlich geht es hier je nach Unternehmensgröße und Anzahl der Anwendungen, Algorithmen, IT-Systeme und anderen um teilweise Zehntausende Maschinenidentitäten. Folglich können die Prozesse zur Erstellung und Erneuerung viel Zeit kosten und sehr fehleranfällig sein, wenn sie lediglich manuell und mit Excel-Listen durchgeführt werden. Jeder Fehler kann entweder von Angreifern ausgenutzt werden, um Webnutzer anzugreifen oder aber um den Service zum Absturz zu bringen. Sie können die Services sogar gänzlich kapern und den Datenverkehr von einer Webseite zu einer infizierten oder bösartigen umleiten. Darüber hinaus kann ein Ausfall eines Online-Shops oder Services Kunden vergraulen und ganze Geschäftsmodelle gefährden. In der Folge wird der Ruf des Unternehmens gefährdet und ihm letztlich finanzieller Schaden zugefügt.

Scott Carter, Senior Manager Marketing bei Venafi

Bild: Venafi

 

Scott Carter, Senior Manager Marketing bei Venafi

Schlussfolgerung: Automation für Neuausstellung, Erneuerung und Widerrufung

Um ihre digitalen Zertifikate angemessen verwalten zu können, brauchen Unternehmen eine Lösung, die die Erneuerung, Neuausstellung und den Widerruf vereinfacht. Die Plattform von Venafi automatisiert nach Unternehmensangaben  die drei beschriebenen Schritte. Unternehmen können die REST-API des Tools verwenden, um die Erneuerung, Neuausstellung und/oder den Widerruf von Zertifikaten über ein einziges Portal anzustoßen. Diese Zentralisierung beschleunigt jedes dieser Zertifikatsmanagement-Verfahren und minimiert dadurch das Zeitfenster, in dem ein Angreifer Schaden anrichten könnte. Außerdem benachrichtigt die Plattform automatisch den Inhaber, wenn ein Zertifikat demnächst abläuft.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2019
Venafi-Umfrage: 82% misstrauen gewählten Regierungsvertretern

datensicherheit.de, 22.08.2019
Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten



Kommentieren

Kommentar

Theiners SecurityTalk

Neue Folge!
Blackout - Angriff auf kritische Infrastrukturi, 20.05.2020

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung