Wenn das grüne Schloss im Browser nicht für Sicherheit steht
Von Tony Bradley Tech Autor bei Xpective
Unternehmen stecken in einem Dilemma, wenn es um digitale Zertifikate geht. Sie sind heute ein absolutes Must-Have, da der Kunde erwartet, dass seine Website sicher ist. Die diskutierten Änderungsvorschläge an der Gültigkeitsdauer von SSL-Zertifikaten könnten deren effektive Verwaltung erschweren. Gleichzeitig untergraben Angreifer das Vertrauen der Nutzer. Cyberkriminelle verwenden legitime Zertifikate, um bösartige Websites glaubwürdig erscheinen zu lassen.
Die Adressleiste des Internet-Browsers zeigt typischerweise ein verriegeltes Vorhängeschloss neben der URL, beispielsweise von TechSpective. Es gibt Auskunft über eine sichere und verschlüsselte Verbindung zu der Website. Einer mit grünem Schloss gekennzeichneten Domain kann jedoch nicht immer vertraut werden.
In der Tat zeigt es, dass die Homepage über ein Zertifikat verfügt und die Verbindung zu ihr verschlüsselt und sicher ist – relativ gesehen. Jedoch gibt es keinerlei Garantie über den Kontext der Website, lediglich über die Basis, auf der diese abgebildet ist. Cyberkriminelle nutzen aus, dass viele Nutzer ihr Vertrauen basierend auf dem grünen Vorhängeschloss aussprechen. Deshalb haben sie begonnen, sich über bestimmte Zertifizierungsstellen (CAs) kostenfrei Zertifikate für dubiose Websites zu verschaffen.
Die Studie The State of Financial Phishing: 2019-H1 von NormShield weist darauf hin, dass das Vorhängeschloss allein keine Aussage über die Sicherheit der Domain zulässt. Es zeigt lediglich die Nutzung der Homepage von einem gültigen SSL- oder TLS-Zertifikat an. Laut der Studie wurden 15% der in der ersten Jahreshälfte 2019 registrierten, potenziellen Phishing-Domains so gestaltet, dass sie der Website einer Bank ähnlich sehen. Sie verwendeten allesamt gültige Zertifikate.
Wird die Laufzeit von Zertifikaten auf die Hälfte gekürzt?
Dass Cyberkriminelle das Vertrauen in digitale Zertifikate untergraben, sollte in der Folge jedoch nicht dazu führen, sie abzuschaffen. Unternehmen müssen digitale Zertifikate für ihre Domains verwenden. Die Verwaltung dieser ist eine Herausforderung, doch sie könnte noch komplexer werden. Derzeit wird ein Vorschlag geprüft, die standardmäßige Gültigkeitsdauer eines Zertifikats von 825 Tagen (etwas mehr als 2 Jahre) auf nur 397 Tage (etwa 13 Monate) zu verkürzen.
Entschieden wird über diese Frage bei einer Abstimmung im März 2020. Die Browser-Anbieter haben sich für die kürzere Laufzeit ausgesprochen, doch die Zertifizierungsstellen sprechen Skepsis aus. Das Ziel ist es, die Sicherheit zu erhöhen und Angreifern weniger Gelegenheiten zum Missbrauch von Zertifikaten zu bieten. Einige Experten merken an, dass eine solche Maßnahme in der Praxis möglicherweise wenig oder gar keine Wirkung zeigen würde.
So betont Timothy Hollebeek von DigiCert in einem dem Vorschlag entgegen gerichteten Blogbeitrag:
„Diese Änderung hat keinerlei Auswirkungen auf bösartige Websites, die nur für sehr kurze Zeiträume betrieben werden – von ein paar Tagen bis zu einer, höchstens zwei Wochen. Danach ist die Domain verschiedenen Blacklists hinzugefügt worden, und der Angreifer wechselt einfach zu einer neuen Domain und erwirbt neue Zertifikate.“
Die Herausforderungen eines effektiven Zertifikatsmanagements
Unabhängig vom Ergebnis der Abstimmung sollten Unternehmen ein präzises Inventar aller verwendeten Zertifikate erstellen und die Zertifikate rechtzeitig erneuern. Bei einer Umfrage für eine aktuelle Studie des Ponemon Institute klagten fast drei Viertel der Teilnehmer über unerwartete Stillstände oder Ausfälle aufgrund abgelaufener oder falsch verwalteter Zertifikate.
Viele Unternehmen setzen zur Inventarisierung und Verwaltung von Zertifikaten manuelle Verfahren ein. Diese beschränken sich im Wesentlichen darauf, Felder in einer Tabellenkalkulation auszufüllen und zu versuchen, an die Erneuerung und Aktualisierung der Zertifikate zu denken. Abgelaufene Zertifikate können jedoch erhebliche Störungen verursachen und das Vertrauen der Kunden beeinträchtigen. In Verbindung mit abgeschalteten Websites ist oftmals ein Imageverlust zu sehen. Deshalb ist ein effektives Zertifikatsmanagement von Bedeutung. Im Idealfall sollte die Anwendung die Zertifikate automatisch erneuern und die aktualisierten Versionen installieren, damit es zu keinen Geschäftsunterbrechungen kommt, die das Vertrauen der Kunden gefährden könnten.
Qualys bietet eine automatisierte Lösung, den CertView an. Diese ermöglicht einen ganzheitlichen, integrierten Überblick über die vorhandenen Zertifikate und deren Verwaltung. Dieses Tool für Zertifikatsmanagement kann Schwachstellen und Probleme bei der Konfiguration von Zertifikaten ermitteln und den Teams Tabellenkalkulationen und manuelle Verwaltung ersparen.
