Aktuelles, Branche, Gastbeiträge, Produkte - geschrieben von cp am Mittwoch, Februar 19, 2020 16:13 - noch keine Kommentare
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung
Großer ist der Aufwand für die Erneuerung, die Neuausstellung und gegebenenfalls den Widerruf eines Zertifikats
Von unserem Gastautor Scott Carter, Senior Manager Marketing bei Venafi
[datensicherheit.de, 19.02.2020] Tagtäglich werden überall auf der Welt Milliarden von Maschinenidentitäten (digitale Zertifikate und kryptographische Schlüssel) ausgestellt, erneuert und widerrufen. Doch immer wieder schleichen sich in diese Prozesse Fehler ein, die dann teuer werden können, wenn es zu Ausfällen oder Sicherheitsvorfällen kommt. Deshalb beschäftigt sich der vorliegende Beitrag mit diesen drei grundlegenden Vorgängen, um den Verantwortlichen Tipps und Tricks an die Hand zu geben, quasi eine Schritt für Schritt Anleitung. Sobald ein Benutzer ein digitales Zertifikat von einer Zertifizierungsstelle (CA) erworben hat, kann er darüber verfügen wie er möchte. Das heißt jedoch nicht, dass er sich dann nicht mehr weiter darum kümmern muss. Denn für die Erneuerung von Zertifikaten ist er verantwortlich, ebenso wie für die eventuelle Neuausstellung oder den Widerruf.
- Erneuerung: Die Zertifikatserneuerung ist ein Verfahren, mit dem ein Benutzer ein neues Zertifikat für den gleichen öffentlichen Schlüssel erwirbt, der in einem ablaufenden Zertifikat verwendet wird. Die meisten SSL-Zertifikate laufen ein Jahr nach Erwerb ab. Damit das Vertrauen der Webnutzer durchgehend gewahrt bleibt, sollten Zertifikatseigentümer planen, ein Zertifikat im letzten Quartal vor dem Ablauf zu erneuern. Die Erneuerung können sie anfordern, indem sie über das Hosting-Bedienfeld ihrer CA einen neuen Certificate Signing Request (CSR) erzeugen. Die CA wird diesen Antrag dann bearbeiten und die Schritte zur Identitätsprüfung im gleichen Zeitraum abschließen, der auch bei der Bearbeitung des CSR für ein neues Zertifikat erforderlich ist – vorausgesetzt, dass sich die Domain, der Name des Unternehmens und die sonstigen Angaben des Inhabers nicht geändert haben. Anschließend sendet die CA das Zertifikat an den zuständigen Ansprechpartner. Der Inhaber muss dann das neue Zertifikat installieren und konfigurieren, bevor er das alte elektronische Dokument entfernt.
- Neuausstellung: Die Neuausstellung von Zertifikaten (auch Re-Keying genannt) ist ein Verfahren, bei dem ein Benutzer einen neuen privaten Schlüssel und einen CSR für ein vorhandenes Zertifikat erzeugt. Wie bei DNSimple erläutert, gibt es verschiedene Gründe, warum ein Benutzer ein Zertifikat neu ausstellen lassen muss: etwa, wenn er seinen privaten Schlüssel verloren oder gelöscht hat, wenn er Informationen zum Zertifikat ändern will oder wenn er die Verschlüsselungsstärke des Zertifikats ändern möchte. Sobald das Verfahren zur Neuausstellung abgeschlossen ist, wird ein neues digitales Zertifikat erstellt.
- Widerruf: Manchmal wird der private Schlüssel eines Zertifikats unsicher. Die Zertifizierungsstelle Let’s Encrypt weist darauf hin, dass dies geschehen kann, wenn ein Benutzer den Schlüssel auf einer öffentlichen Website teilt oder wenn Hacker den Schlüssel von den Servern eines Unternehmens stehlen. In Fällen wie diesen kann der Benutzer das Zertifikat widerrufen. Daraufhin wird es annulliert und damit die HTTPS-Verbindung aus der Domain des Inhabers entfernt. Es ist dann Sache des Benutzers, ein neues digitales Zertifikat zu erwerben, zu installieren und zu konfigurieren.
Für ein Unternehmen ist es sehr arbeitsaufwändig, die Übersicht darüber zu wahren, wo sich alle digitalen Zertifikate befinden. Und noch größer ist der Aufwand für die Erneuerung, die Neuausstellung und gegebenenfalls den Widerruf eines Zertifikats. Letztlich geht es hier je nach Unternehmensgröße und Anzahl der Anwendungen, Algorithmen, IT-Systeme und anderen um teilweise Zehntausende Maschinenidentitäten. Folglich können die Prozesse zur Erstellung und Erneuerung viel Zeit kosten und sehr fehleranfällig sein, wenn sie lediglich manuell und mit Excel-Listen durchgeführt werden. Jeder Fehler kann entweder von Angreifern ausgenutzt werden, um Webnutzer anzugreifen oder aber um den Service zum Absturz zu bringen. Sie können die Services sogar gänzlich kapern und den Datenverkehr von einer Webseite zu einer infizierten oder bösartigen umleiten. Darüber hinaus kann ein Ausfall eines Online-Shops oder Services Kunden vergraulen und ganze Geschäftsmodelle gefährden. In der Folge wird der Ruf des Unternehmens gefährdet und ihm letztlich finanzieller Schaden zugefügt.
Scott Carter, Senior Manager Marketing bei Venafi
Schlussfolgerung: Automation für Neuausstellung, Erneuerung und Widerrufung
Um ihre digitalen Zertifikate angemessen verwalten zu können, brauchen Unternehmen eine Lösung, die die Erneuerung, Neuausstellung und den Widerruf vereinfacht. Die Plattform von Venafi automatisiert nach Unternehmensangaben die drei beschriebenen Schritte. Unternehmen können die REST-API des Tools verwenden, um die Erneuerung, Neuausstellung und/oder den Widerruf von Zertifikaten über ein einziges Portal anzustoßen. Diese Zentralisierung beschleunigt jedes dieser Zertifikatsmanagement-Verfahren und minimiert dadurch das Zeitfenster, in dem ein Angreifer Schaden anrichten könnte. Außerdem benachrichtigt die Plattform automatisch den Inhaber, wenn ein Zertifikat demnächst abläuft.
Weitere Informationen zum Thema:
datensicherheit.de, 05.09.2019
Venafi-Umfrage: 82% misstrauen gewählten Regierungsvertretern
datensicherheit.de, 22.08.2019
Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen
datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten
datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren