Zertifikate: Lebenszyklus soll erneut verkürzt werden

Das „CA/Browser Forum“ schlägt vor, den Lebenszyklus von HTTPS-Zertifikaten auf 13 Monate zu reduzieren

[datensicherheit.de, 16.08.2019] Laut Venafi wurde der Lebenszyklus von Zertifikaten „bereits im März 2018 von 39 auf 27 Monate verkürzt“ – nun aber sehe der jüngste Vorschlag des „CA/Browser Forum“ vor, den Lebenszyklus von HTTPS-Zertifikaten ab März 2020 auf nur 13 Monate zu reduzieren, um die Sicherheit zu erhöhen.

Foto: Venafi

Jens Sabitzer empfiehlt automatisiertes Programm zum Schutz der Maschinenidentitäten

Lebenszyklus-Verkürzung soll es Kriminellen erschweren, gestohlene Zertifikate zu missbrauchen

Diese Verkürzung solle es Kriminellen schwieriger machen, gestohlene Zertifikate zu missbrauchen, „da die Zeitspanne, während der jene gültig sind, verkürzt wird“. Es könnte Unternehmen auch zwingen, die neuesten und sichersten der verfügbaren Verschlüsselungs-Algorithmen zu verwenden.
Obwohl der Vorschlag, die Lebenszeit von TLS/SSL-Zertifikaten zu verkürzen, möglicherweise die IT-Sicherheit bis zu einem gewissen Punkt verbessern werde, rieten einige Experten den Unternehmen eindringlich, zusätzliche Schutzmaßnahmen zu implementieren, um die Sicherheit innerhalb ihrer Netzwerke zu erhöhen.

Nur eine Möglichkeit, Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig zu halten

„Nachdem der Lebenszyklus von Zertifikaten im Jahr 2018 bereits auf 27 Monate reduziert wurde, würde der neue Vorschlag des ,CA/Browser Forum‘ diesen noch weiter auf nur 13 Monate verkürzen. Gleichzeitig sehen Unternehmen aber, wie die Nutzung von Zertifikaten dramatisch zunimmt. Die einzige Möglichkeit, wie Firmen mit diesen beiden Änderungen Schritt halten können, besteht darin, in ein automatisiertes Programm zum Schutz der Maschinenidentitäten zu investieren“, erläutert Jens Sabitzer, „Global Security Architect“ bei Venafi.
Er betont: „Wenn Sie davon ausgehen, dass der Druck auf die Lebensdauer von Zertifikaten anhält, während die Nutzung von Zertifikaten weiter zunehmen wird, ist diese Investition die einzige Möglichkeit, wie Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig bleiben können.“

TLS-Zertifikate: Viele Faktoren beeinflussen Sicherheit öffentlich zugänglicher Websites

Ash Pala, Sicherheitsarchitekt bei Venafi ergänzt: „Viele Faktoren beeinflussen die Sicherheit der TLS-Zertifikate auf öffentlich zugänglichen Websites. Einerseits hat das ,CA/Browser Forum‘ einen guten Grund, den Lebenszyklus von Zertifikaten auf 13 Monate zu verkürzen, andererseits gibt es starke Argumente von Troy Hunt und anderen Sicherheitsforschern über den Wert von EV-Zertifikaten.“
Seiner Ansicht nach sei die Begrenzung der Lebensdauer von öffentlich zugänglichen Zertifikaten auf 13 Monate im Allgemeinen im Einklang mit den Richtlinien und Zielen von Unternehmen, „die den agilen oder DevOps-Ansatz für ihre interaktiven und transaktionalen Websites übernommen haben, wo das Volumen der kurzlebigen Zertifikate weiter steigt“. Das von DigiCert vorgetragene Gegenargument, dass die Nutzung von Zertifikaten auf gefälschten Websites zunehme und dass diese sehr kurzlebigen Domains speziell für böswillige Absichten entwickelt worden seien, sei „in vielerlei Hinsicht ein ganz anderes Problem, das den Lebenszyklus von Zertifikaten nicht beeinflusst“.

Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken!

„Wir wissen bereits, was passiert, wenn Änderungen an der Lebensdauer von Zertifikaten auf den Markt gebracht werden. Große Unternehmen holen sich einfach eine Ausnahme, zahlen vielleicht ein wenig zusätzliches Geld und fahren dann mit dem Business-as-usual fort“, erläutert Mark Miller, „Director of Customer Support“ bei Venafi.
Er stimme DigiCert zu, dass die Kontrolle der Lebensdauer von Zertifikaten als Sicherheitsmaßnahme nur theoretisch sei. In der Praxis würden dagegen jene Unternehmen die Risiken für ihre IT-SIcherheit erheblich reduzieren, „die ihre Sicherheitskontrollen und -richtlinien tatsächlich durchsetzen und die Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken – und das ist überhaupt nicht theoretisch“.

Digitale Zertifikate dienen als Maschinenidentitäten

Die digitalen Zertifikate dienten als Maschinenidentitäten, um sicher mit anderen Maschinen zu kommunizieren und autorisierten Zugriff auf Anwendungen und Dienste zu erhalten. Wenn Unternehmen mangels Transparenz in der IT-Infrastruktur keinen Überblick hätten, wie viele Maschinenidentitäten verwendet werden, welche Geräte sie verwenden und wann sie ablaufen, sei „das offensichtlichste Ergebnis ein Ausfall, sobald diese Maschinenidentitäten tatsächlich ablaufen“.
Die Ergebnisse einer aktuellen Studie laut Venafi:

• Fast zwei Drittel der Unternehmen, 60 Prozent, erlebten zertifizierungsbedingte Ausfälle, die sich im letzten Jahr auf kritische Geschäftsanwendungen oder -dienste ausgewirkt haben. 74 Prozent wurden in den letzten 24 Monaten mit ähnlichen Ereignissen konfrontiert.
• Fast 80 Prozent schätzen, dass der Einsatz von Zertifikaten in ihren Unternehmen in den nächsten fünf Jahren um 25 Prozent oder mehr wachsen wird, wobei mehr als die Hälfte mit minimalen Wachstumsraten von mehr als 50 Prozent rechnet.
• 85 Prozent der CIOs glauben, dass die zunehmende Komplexität und Interdependenz von IT-Systemen die Ausfälle in Zukunft noch schmerzhafter machen wird.
• Während 50 Prozent der CIOs befürchten, dass sich zertifizierungsbedingte Ausfälle auf das Kundenerlebnis auswirken, sind 45 Prozent über den Zeit- und Ressourcenverbrauch besorgt.

Am Ende des Lebenszyklus der Zertifikate entstehen gefährliche Schwachstellen

Darüber hinaus entstünden mit dem Ablauf der Zertifikate gefährliche Schwachstellen, über die Kriminelle in das System gelangen könnten, um beispielweise TLS/SSL-Zertifikate zu stehlen, die später im „Darknet“ zu Preisen zwischen 260 und 1.600 US-Dollar verkauft würden.
Der Einsatz eines Programms zum Schutz von Maschinenidentitäten, das größere Transparenz, Intelligenz und Automatisierung in das Netzwerk einbringe und über den gesamten Lebenszyklus aller Zertifikate biete, sei „ein sicherer und praktischer Weg, um zertifikatsbezogene Ausfälle zu vermeiden“.

Weitere Informationen zum Thema:

infosecurity, Phil Muncaster, 13.08.2019
Certificate Giant Slams Plan to Shorten HTTPS Lifespans

VENAFI
White Paper / CIO Study: Certificate-Related Outages Continue to Plague Organizations

VENAFI
SSL/TLS Certificates and Their Prevalence on the Dark Web (First Report)

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten