Befestigte Schlösser mit hölzernen Toren: Schwache Schlüssel und veraltetes Maschinenidentitäts-Management behindern die Einführung von TLSv1.3

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Venafi®, der Erfinder und führende Anbieter von Maschinenidentitäts-Management, gibt die Ergebnisse eines neuen Crawler-Berichts des Sicherheitsforschers und TLS-Experten Scott Helme bekannt. Der Bericht, der von Venafi gesponsert wurde, bewertet die Verwendung von Verschlüsselung auf den weltweit eine Million größten Websites in den letzten sechs Monaten.

Die Untersuchung legt nahe, dass zwar in einigen Bereichen Fortschritte erzielt wurden, aber noch mehr Aufklärung nötig ist, um sicherzustellen, dass Maschinenidentitäten auf die effektivste Weise zum Schutz unserer Online-Welt eingesetzt werden:

  • Die Verwendung von TLSv1.2 ist in den letzten sechs Monaten um 13 Prozent zurückgegangen, während v1.3 von fast 50 Prozent der Websites verwendet wird – mehr als doppelt so viele Websites wie v1.2. Die Einführung von v1.3 wird durch weit verbreitete Initiativen zur digitalen Transformation, Cloud-Migration und neue Cloud-native Stacks, die standardmäßig 1.3 verwenden, vorangetrieben.
  • Obwohl Unternehmen stärkere TLS-Protokolle einführen, versäumen sie es, dies mit einem Wechsel zu stärkeren Schlüsseln für TLS-Maschinenidentitäten zu verbinden.
  • ECDSA-Schlüssel, die dem Industriestandard entsprechen, werden nur noch von 17 Prozent der Websites verwendet – vor sechs Monaten waren es noch 14 Prozent. Langsamere, weniger sichere RSA-Schlüssel werden immer noch von 39 Prozent der eine Million größten Websites verwendet.
  • Der Anstieg der HTTPS-Nutzung hat sich bei 72 Prozent eingependelt – dem gleichen Niveau wie im Dezember.

„Die Tatsache, dass Unternehmen TLS v1.3 mit Maschinenidentitäten unter Verwendung von RSA-Schlüsseln einsetzen, zeigt, dass es bei der Verwaltung von Maschinenidentitäten noch große Fortschritte zu machen gibt. Ein starker Algorithmus bedeutet sehr wenig, wenn er in Verbindung mit einem schwachen Schlüssel verwendet wird – das ist so, als würde man eine steinerne Festung bauen, aber das Holztor ungeschützt lassen“, erklärt Scott Helme, Sicherheitsforscher und Gründer von Report URI. „Die Einführung neuerer, effizienterer und sicherer EDCSA-Schlüssel war in den letzten sechs Monaten vernachlässigbar. Dies und die Tatsache, dass die Akzeptanz von HTTPS in den letzten sechs Monaten auf einem Tiefpunkt angelangt ist, zeigt, dass das Internet nicht sicherer ist als noch vor einem halben Jahr. Cyberkriminelle erhöhen ständig den Einsatz, und es ist enttäuschend zu sehen, dass die Unternehmen nicht nachziehen.“

Let’s Encrypt ist nach wie vor die Zertifizierungsstelle (CA) der Wahl für die erste Million, aber Cloudflare holt auf. Dieser Aufschwung scheint die treibende Kraft hinter der Einführung von TLSv1.3 zu sein, da 50 Prozent der Websites, die v1.3 einsetzen, dies über Cloudflare tun. Der Rückgang bei der Verwendung von Extended Validation (EV)-Zertifikaten hat sich ebenfalls fortgesetzt, mit einem Rückgang von 16 Prozent in den letzten sechs Monaten, nachdem die Browserhersteller den Wert von EV-Zertifikaten für Websitebesitzer drastisch reduziert haben.

Diese Analyse enthält auch einige gute Nachrichten. Die Daten deuten darauf hin, dass die Unternehmen mehr Maßnahmen zur Verwaltung ihrer Maschinenidentitätsumgebungen ergreifen. Seit Dezember ist auch die Zahl der Websites, die die Autorisierung von Zertifizierungsstellen (Certificate Authority Authorization, CAA) nutzen, um eine Liste von zugelassenen Zertifizierungsstellen zu erstellen, die innerhalb ihrer Organisation verwendet werden können, um 13 Prozent gestiegen. Die Einführung dieser Kontrolle ist ein positives Zeichen dafür, dass sich die Unternehmen der Bedeutung der Maschinenidentitäten für die Gesamtsicherheit bewusst sind und bei der Art und Weise, wie sie diese verwalten, erhöhte Wachsamkeit zeigen.

„Der jüngste Boom bei der Cloud-Migration bedeutet, dass jedes Unternehmen viel mehr TLS-Maschinenidentitäten benötigt, um die Kommunikation zwischen Geräten, Clouds, Software, Containern und APIs zu sichern“, sagt Kevin Bocek, Vice President, Security Strategy and Threat Intelligence bei Venafi. „Die Tatsache, dass immer mehr Unternehmen CAAs einsetzen, ist ein positives Zeichen dafür, dass die Unternehmen die Notwendigkeit des Maschinenidentitäts-Managements erkennen. Der Einsatz von CAAs unterstreicht auch den dringenden Bedarf an einer Steuerungsebene für das Management von Maschinenidentitäten, die den Einsatz von Maschinenidentitäten in zunehmend komplexen Cloud-Umgebungen automatisieren kann.“

Den kompletten Report können Sie hier herunterladen: https://www.venafi.com/blog/top-1-million-analysis-june-2022

Kategorien
InformationssicherheitNewsSecurityThreat
Tags:
API SecurityKryptoMaschinenidentitätenschlüsselScott HelmeTLSVenafiZertifikate

Weitere Artikel

Venafi warnt: Cyberspionage-Bootcamps in China lehren Angriffe auf Lieferketten Venafi-Umfrage zeigt Herausforderungen für IT-Sicherheit bei Software-Lieferketten Venafi erwirbt Jetstack zur Beschleunigung und Sicherung der digitalen Transformation Venafi: Finanzdienstleistungsunternehmen sind anfälliger für zertifikatsbedingte Ausfälle

Archiv

Kategorien

Back to Top