Venafi Studie: 85 Prozent der IT-Sicherheitsexperten glauben, dass Google zusätzlichen Zertifizierungsstellen misstrauen wird

Mike-Dodson

Lediglich 23 Prozent sind zuversichtlich, dass sie schnell alle Zertifikate einer spezifischen Zertifizierungstelle (Certificate Authority, CA) finden würden.

 SALT LAKE CITY, UT – 18. April 2018: Venafi®, der führende Anbieter für den Schutz von Maschinenidentitäten, stellt heute die Ergebnisse einer Studie von Dimensional Research vor, die IT-Sicherheitsexperten dazu befragt hat, wie sie auf Fehler von Zertifizierungsstellen reagieren. Darüber hinaus wurde untersucht, welche Auswirkungen Vorfälle haben, in denen Suchmaschinen-Betreiber Zertifikate von bestimmten Zertifizierungsstellen als nicht mehr vertrauenswürdig einstufen. In der Studie wurden 1.100 IT-Sicherheitsexperten aus den USA, Großbritannien, Deutschland, Frankreich und Australien befragt.

Obwohl IT-Sicherheitsexperten durch zukünftige CA-Vorfälle beunruhigt sind, verfügen nur sehr wenige über die erforderlichen Tools, um Zertifikate von CAs schnell zu wechseln. Beispielsweise glauben nur fünfzehn Prozent der Befragten, dass die Entscheidung von Google, Symantec-Zertifikaten zu misstrauen, ein einmaliges Ereignis ist. Wenn sie jedoch von einem großen CA-Ereignis betroffen wären, gaben nur 23 Prozent an, dass sie alle betroffenen Zertifikate schnell finden und ersetzen könnten.

„CAs haben eine sehr schwierige Aufgabe und sie haben mit vielen Komplexitäten zu kämpfen, die sich ihrer Kontrolle entziehen“, sagt Mike Dodson, Global Head of Solution Architects bei Venafi. „Jede CA ist Risiken ausgesetzt, und CA-Kompromittierungen und Fehler können dazu führen, dass Unternehmen in kurzer Zeit viele Zertifikate finden und ersetzen müssen. Unternehmen brauchen mehr Kontrolle über die CAs, denen sie vertrauen, aber sie müssen auch anerkennen, dass sie nie die volle Kontrolle haben werden. Browser spielen beispielsweise eine große Rolle, wenn es darum geht, wie wir CAs vertrauen. Chrome und Mozilla haben kürzlich beschlossen, den von Symantec ausgestellten Zertifikaten nicht mehr zu vertrauen, und jetzt müssen viele Unternehmen diese Zertifikate vor Ablauf einer bestimmten Frist ersetzen (die letzte Frist ist der 13. September 2018[1]).“

Weitere Ergebnisse deuten darauf hin, dass Sicherheitsexperten ihre Fähigkeit, auf einen CA-Vorfall zu reagieren, zu hoch einschätzen:

  • 81 Prozent der Befragten sind besorgt über zukünftige Vorfälle mit CAs.
  • 61 Prozent der Befragten geben an, über einen Plan zu verfügen, der es ihnen ermöglichen würde, alle Symantec-Zertifikate bis zu den nächsten Terminen zu ersetzen, aber nur 58 Prozent verfügen über eine genaue Liste, die die IP-Adressen aller Geräte enthält, auf denen Zertifikate installiert wurden und die mit einem Symantec-Root verknüpft sind.
  • Fast zwei Drittel (62 Prozent) sind zuversichtlich, dass sie keine Zertifikate von nicht autorisierten CAs haben, aber nur die Hälfte hat Kontrollen, um dies zu erkennen.
  • 74 Prozent glauben, dass sie alle von einem CA-Kompromiss betroffenen Zertifikate schnell finden und ersetzen können, aber nur 8 Prozent verfügen über automatisierte Prozesse.

Im vergangenen Jahr haben Forscher von Google entschieden, dass Symantec und ihre angeschlossenen CAs viele TLS-Zertifikate (Transport Layer Security) falsch ausgestellt haben. Daher kündigten Chrome-Forscher einen offiziellen Plan an, um das Vertrauen in die von Symantec ausgestellten Zertifikate zu entziehen. Stabile Releases soll es dann für Chrome 66 ab dem 17. April 2018 und für Chrome 70 ab dem 16. Oktober 2018 geben.

[1] https://www.digicert.com/replace-your-symantec-ssl-tls-certificates-de/