Aktuelles, Branche, Studien - geschrieben von dp am Freitag, August 16, 2019 20:55 - noch keine Kommentare
Zertifikate: Lebenszyklus soll erneut verkürzt werden
Das „CA/Browser Forum“ schlägt vor, den Lebenszyklus von HTTPS-Zertifikaten auf 13 Monate zu reduzieren
[datensicherheit.de, 16.08.2019] Laut Venafi wurde der Lebenszyklus von Zertifikaten „bereits im März 2018 von 39 auf 27 Monate verkürzt“ – nun aber sehe der jüngste Vorschlag des „CA/Browser Forum“ vor, den Lebenszyklus von HTTPS-Zertifikaten ab März 2020 auf nur 13 Monate zu reduzieren, um die Sicherheit zu erhöhen.
Jens Sabitzer empfiehlt automatisiertes Programm zum Schutz der Maschinenidentitäten
Lebenszyklus-Verkürzung soll es Kriminellen erschweren, gestohlene Zertifikate zu missbrauchen
Diese Verkürzung solle es Kriminellen schwieriger machen, gestohlene Zertifikate zu missbrauchen, „da die Zeitspanne, während der jene gültig sind, verkürzt wird“. Es könnte Unternehmen auch zwingen, die neuesten und sichersten der verfügbaren Verschlüsselungs-Algorithmen zu verwenden.
Obwohl der Vorschlag, die Lebenszeit von TLS/SSL-Zertifikaten zu verkürzen, möglicherweise die IT-Sicherheit bis zu einem gewissen Punkt verbessern werde, rieten einige Experten den Unternehmen eindringlich, zusätzliche Schutzmaßnahmen zu implementieren, um die Sicherheit innerhalb ihrer Netzwerke zu erhöhen.
Nur eine Möglichkeit, Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig zu halten
„Nachdem der Lebenszyklus von Zertifikaten im Jahr 2018 bereits auf 27 Monate reduziert wurde, würde der neue Vorschlag des ,CA/Browser Forum‘ diesen noch weiter auf nur 13 Monate verkürzen. Gleichzeitig sehen Unternehmen aber, wie die Nutzung von Zertifikaten dramatisch zunimmt. Die einzige Möglichkeit, wie Firmen mit diesen beiden Änderungen Schritt halten können, besteht darin, in ein automatisiertes Programm zum Schutz der Maschinenidentitäten zu investieren“, erläutert Jens Sabitzer, „Global Security Architect“ bei Venafi.
Er betont: „Wenn Sie davon ausgehen, dass der Druck auf die Lebensdauer von Zertifikaten anhält, während die Nutzung von Zertifikaten weiter zunehmen wird, ist diese Investition die einzige Möglichkeit, wie Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig bleiben können.“
TLS-Zertifikate: Viele Faktoren beeinflussen Sicherheit öffentlich zugänglicher Websites
Ash Pala, Sicherheitsarchitekt bei Venafi ergänzt: „Viele Faktoren beeinflussen die Sicherheit der TLS-Zertifikate auf öffentlich zugänglichen Websites. Einerseits hat das ,CA/Browser Forum‘ einen guten Grund, den Lebenszyklus von Zertifikaten auf 13 Monate zu verkürzen, andererseits gibt es starke Argumente von Troy Hunt und anderen Sicherheitsforschern über den Wert von EV-Zertifikaten.“
Seiner Ansicht nach sei die Begrenzung der Lebensdauer von öffentlich zugänglichen Zertifikaten auf 13 Monate im Allgemeinen im Einklang mit den Richtlinien und Zielen von Unternehmen, „die den agilen oder DevOps-Ansatz für ihre interaktiven und transaktionalen Websites übernommen haben, wo das Volumen der kurzlebigen Zertifikate weiter steigt“. Das von DigiCert vorgetragene Gegenargument, dass die Nutzung von Zertifikaten auf gefälschten Websites zunehme und dass diese sehr kurzlebigen Domains speziell für böswillige Absichten entwickelt worden seien, sei „in vielerlei Hinsicht ein ganz anderes Problem, das den Lebenszyklus von Zertifikaten nicht beeinflusst“.
Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken!
„Wir wissen bereits, was passiert, wenn Änderungen an der Lebensdauer von Zertifikaten auf den Markt gebracht werden. Große Unternehmen holen sich einfach eine Ausnahme, zahlen vielleicht ein wenig zusätzliches Geld und fahren dann mit dem Business-as-usual fort“, erläutert Mark Miller, „Director of Customer Support“ bei Venafi.
Er stimme DigiCert zu, dass die Kontrolle der Lebensdauer von Zertifikaten als Sicherheitsmaßnahme nur theoretisch sei. In der Praxis würden dagegen jene Unternehmen die Risiken für ihre IT-SIcherheit erheblich reduzieren, „die ihre Sicherheitskontrollen und -richtlinien tatsächlich durchsetzen und die Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken – und das ist überhaupt nicht theoretisch“.
Digitale Zertifikate dienen als Maschinenidentitäten
Die digitalen Zertifikate dienten als Maschinenidentitäten, um sicher mit anderen Maschinen zu kommunizieren und autorisierten Zugriff auf Anwendungen und Dienste zu erhalten. Wenn Unternehmen mangels Transparenz in der IT-Infrastruktur keinen Überblick hätten, wie viele Maschinenidentitäten verwendet werden, welche Geräte sie verwenden und wann sie ablaufen, sei „das offensichtlichste Ergebnis ein Ausfall, sobald diese Maschinenidentitäten tatsächlich ablaufen“.
Die Ergebnisse einer aktuellen Studie laut Venafi:
- Fast zwei Drittel der Unternehmen, 60 Prozent, erlebten zertifizierungsbedingte Ausfälle, die sich im letzten Jahr auf kritische Geschäftsanwendungen oder -dienste ausgewirkt haben. 74 Prozent wurden in den letzten 24 Monaten mit ähnlichen Ereignissen konfrontiert.
- Fast 80 Prozent schätzen, dass der Einsatz von Zertifikaten in ihren Unternehmen in den nächsten fünf Jahren um 25 Prozent oder mehr wachsen wird, wobei mehr als die Hälfte mit minimalen Wachstumsraten von mehr als 50 Prozent rechnet.
- 85 Prozent der CIOs glauben, dass die zunehmende Komplexität und Interdependenz von IT-Systemen die Ausfälle in Zukunft noch schmerzhafter machen wird.
- Während 50 Prozent der CIOs befürchten, dass sich zertifizierungsbedingte Ausfälle auf das Kundenerlebnis auswirken, sind 45 Prozent über den Zeit- und Ressourcenverbrauch besorgt.
Am Ende des Lebenszyklus der Zertifikate entstehen gefährliche Schwachstellen
Darüber hinaus entstünden mit dem Ablauf der Zertifikate gefährliche Schwachstellen, über die Kriminelle in das System gelangen könnten, um beispielweise TLS/SSL-Zertifikate zu stehlen, die später im „Darknet“ zu Preisen zwischen 260 und 1.600 US-Dollar verkauft würden.
Der Einsatz eines Programms zum Schutz von Maschinenidentitäten, das größere Transparenz, Intelligenz und Automatisierung in das Netzwerk einbringe und über den gesamten Lebenszyklus aller Zertifikate biete, sei „ein sicherer und praktischer Weg, um zertifikatsbezogene Ausfälle zu vermeiden“.
Weitere Informationen zum Thema:
infosecurity, Phil Muncaster, 13.08.2019
Certificate Giant Slams Plan to Shorten HTTPS Lifespans
VENAFI
White Paper / CIO Study: Certificate-Related Outages Continue to Plague Organizations
VENAFI
SSL/TLS Certificates and Their Prevalence on the Dark Web (First Report)
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren