Sollten Sie sich eine neue Zertifizierungsstelle suchen?

Mike-Dodson_2

‎Autor: Mike Dodson, Global Head of Security Architects bei Venafi

Der Vorfall um Trustico hat Fragen aufgeworfen, ob es nicht sinnvoll wäre, sich eine neue Zertifizierungsstelle zu suchen. Was ist passiert? Nutzer von Trustico-Zertifikaten mussten feststellen, dass wenn sie eines der 23.000 vom Reseller ausgestellte Zertifikate nutzen, diese wahrscheinlich kompromittiert wurden. Daten aus der Plattform Venafi TrustNet ließen kurze Zeit später den Schluss zu, dass lediglich 6.000 Private Keys dieser Zertifikate ausgetauscht wurden und noch immer 17.000 kompromittierte Private Keys im Umlauf sind.

Für viele Technologieexperten mag die Zertifizierungsstelle (CA) nicht immer im Vordergrund stehen – viele könnten in die Falle tappen, die Verwaltung der Schlüssel und Zertifikate der Organisation als „nur einen weiteren Prozess“ zu betrachten und wenig darüber nachzudenken, ob die CA den Anforderungen der Organisation entspricht. Dennoch ist es ein Prozess, der schwerwiegende Auswirkungen auf die Sicherheit hat; nicht alle CAs sind gleich, viele sind anfällig für Cyber-Angriffe, und in bestimmten Fällen haben einige die Sicherheitsprotokolle ignoriert.

Dies sollte sich auf die Technologie-Profis beziehen. Laut einer aktuellen Umfrage verlassen sich 65 Prozent der Unternehmen auf Tools, die von ihren Zertifizierungsstellen (CAs) entwickelt wurden, um ihre kryptographischen Ressourcen zu kontrollieren. Dies ist einfach nicht möglich, wenn sie Zertifikate von mehr als einer CA verwalten – was für fast jedes große Unternehmen gilt. Dies wird noch komplexer, wenn Zertifikate zwischen CAs verschoben werden.

Technologie-Profis sollten dieses Thema ernst nehmen, und der Umbruch, der mit dem Wechsel der CAs verbunden ist, ist sicherlich nicht leicht zu nehmen. Aber in diesem unberechenbaren Klima müssen viele die CAs wechseln, oft im Handumdrehen. Die Tatsache, dass selbst die besten CAs dem menschlichen Versagen zum Opfer fallen können, führt dazu, dass Zertifikate, die sie möglicherweise verwenden, ungültig werden. Die jüngsten Ereignisse bei Symantec und GlobalSign zeigen die Auswirkungen von CA-Fehlern. Schlimmer noch ist ein Kompromiss oder gar eine absichtliche Missachtung von Protokollen, wie die kürzlich bei Trustico entdeckten Probleme. Oder Unternehmen stellen fest, dass neue CAs ohne ihr Wissen oder ihre Zustimmung in ihre Umgebung eingeführt wurden.

Agilität

Um die Sicherheit von kryptographischen Assets von Unternehmen zu gewährleisten, ist Agilität entscheidend. Angenommen, eine CA ist durch einen Cyber-Angriff gefährdet und die Zertifikate von dieser CA gehen in einen nicht vertrauenswürdigen Zustand über. Zuerst müssen Organisationen dann in der Lage sein, alle betroffenen Zertifikate zu finden. Sie müssen dann Zertifikate von einer anderen CA neu ausstellen. Mit welcher Verwaltungskonsole der CA werden sie diese mühsame Aufgabe bewältigen? Können sie erwarten, dass jede CA die Funktionalität bietet, die dabei hilft, Zertifikate auf eine konkurrierende CA zu übertragen?

Zugegeben, ein Kompromiss ist wahrscheinlich das Worst-Case-Szenario für den Wechsel der CAs. Es kann jedoch auch andere Fälle geben, die weniger dramatisch, aber dennoch genauso wichtig sind. Nehmen wir an, die Mitarbeiter einer CA machen einen (allzu menschlichen) Fehler, wie z.B. die falsche Codierung eines Stapels von Zertifikaten oder den versehentlichen Widerruf eines Root-Zertifikats. Organisationen sind dann im Grunde genommen in der gleichen Situation, sie erleben einen Serviceausfall. Sie können auf die CA oder den Browser warten, um das Problem zu beheben, das Wochen oder Monate dauern kann, oder sie können das Problem schnell selbst lösen, indem sie die betroffenen Zertifikate finden und ersetzen.

Unternehmen sollten den Standard setzen

Das Bestreben nach Veränderung kann auch aus dem Unternehmen kommen. Möglicherweise verlangen Sicherheitsrichtlinien, dass die Anzahl der CAs im Unternehmen konsolidiert werden, um das Vertrauensrisiko zu reduzieren. Oder sie diktieren, dass Zertifikate für bestimmte hochwertige Funktionen, wie z.B. globale Finanztransaktionen, zu viel strengeren Attributen gehalten werden, die nur von einer bestimmten CA verfügbar sind; während Zertifikate, die geringere Funktionen unterstützen, von einer günstigeren Quelle erworben werden können.

Möglicherweise möchten Organisationen auch ihre Verschlüsselungsumgebung vereinfachen, um eine strengere Kontrolle oder eine bessere Betriebseffizienz zu ermöglichen. Wenn sie herausfinden, welche Zertifikate migriert werden müssen, können Zertifikate aus einer Filiale oder Abteilung eines Unternehmens entdeckt werden, die von einer CA stammen, von der die Zuständigen nicht wussten, dass ihre Organisation sie verwendet (was nicht überraschend ist, da die durchschnittliche Organisation über 16.500 Zertifikate verfügt, von denen sie nichts wusste). Diese Zertifikate sind die besten Kandidaten für die Registrierung bei einer CA, die von Ihrer Organisation genehmigt wurde.

Fazit

Letztendlich gibt es eine Vielzahl von Gründen für den Wechsel von CAs, und sie müssen bereit sein, diese Änderungen schnell vorzunehmen, wenn es die Situation erfordert. Um ihre Finger am Puls ihrer Verschlüsselungsumgebung zu halten, benötigen Organisationen die Flexibilität, ihre CA-Exposition an externe und interne Anforderungen anzupassen. Diese Agilität hilft ihnen auch bei der Feinabstimmung ihres strategischen Einsatzes von CAs, um ihre Geschäftsziele besser zu erreichen.