Ein Kommentar von Pratik Selva, Sr. Security Engineer bei Venafi
Digitale Zertifikate, mit denen die Verbindung zu Websites verschlüsselt wird, ermöglichen eine sichere Datenübertragung und damit eine sichere Nutzung der jeweiligen Website. Betreiber von Websites müssen daher Sorge dafür tragen, die Zertifikate rechtzeitig vor ihrem Ablauf zu erneuern. Dass dies jedoch nicht immer der Fall ist, zeigen jüngste Beispiele: So liefen im Mai Zertifikate des Audio-Streamingdienstes Spotify und des Zahlungsdienstanbieters Verifone aus. Im Fall von Verifone führte dies in Deutschland bei zahlreichen Supermarkt- und Drogerieketten zu Problemen bei der Kartenzahlung.
Erst am Wochenende des 11. Juni verpasste es Microsoft, das Zertifikat für seine Windows-Insider-Subdomain zu erneuern. Benutzer, die versuchten, das Windows-Insider-Portal zu besuchen, wurden mit einer Warnung darüber konfrontiert, dass ihre Verbindung nicht privat sei. Riefen sie die Seite dennoch auf und ließen sich die Informationen über das digitale Zertifikat der Seite anzeigen, konnten sie sehen, dass dieses bereits am Donnerstag, 9. Juni abgelaufen war. Mittlerweile hat Microsoft das Zertifikat erneuert und die Seite ist wieder regulär aufrufbar.
Das Windows-Insider-Programm von Microsoft ist eine öffentliche Plattform, die den Zugang zu frühen Windows-Versionen ermöglicht. Eine Community von Millionen Mitgliedern nutzt das Programm. Obwohl dieser Vorfall nicht zu einer schwerwiegenden Unterbrechung führte, war die Seite dennoch für diese Nutzer einige Stunden nicht verfügbar, was zumindest zu Unannehmlichkeiten führte.
Solange große Unternehmen das Management von Maschinenidentitäten (kryptographische Schlüssel und digitale Zertifikate) nicht als eine der wichtigsten Herausforderungen einstufen, wird es immer wieder dazu kommen, dass digitale Zertifikate ausfallen und in der Folge zu teils geschäftskritischen Ausfällen führen. Mit der Verlagerung von Anwendungen in die Cloud wird die Verwaltung dieser Identitäten immer komplizierter. Unternehmen müssen sich jedoch mit dem Thema auseinandersetzen, denn Maschinenidentitäten sind sowohl für die Vertrauenswürdigkeit als auch für die IT-Sicherheit entscheidend.
