Google kündigte Ende Juni an für seinen Browser Chrome, Entrust bei der Ausstellung neuer TLS-Zertifikate künftig zu misstrauen. In diesem Blog begründete der Anbieter seine Entscheidung.
Sie zeigt das sehr ernste Risiko auf, dem Unternehmen durch Drittanbietersoftware auch im Hinblick auf den Einsatz von Maschinenidentitäten wie digitalen Zertifikaten und kryptographischen Schlüsseln ausgesetzt sind.
Suchmaschinenanbieter wie Google, Apple und Mozilla legen die Anforderungen für die Sicherheit von Zertifizierungsstellen (Certificate Authorities, CA) immer höher. Die Herausforderung für Unternehmen besteht darin, dass sie keine Kontrolle und keinen Einfluss darauf haben, welche Auswirkungen die Entscheidungen von Google, Apple, Mozilla und Microsoft auf ihre Geschäftstätigkeit haben können. Diese Nachricht wird unnötige Kosten für den Austausch der Zertifikate zur Folge haben und im schlimmsten Fall werden Besucher von Google gewarnt und bleiben aus Angst vor möglicher Schadsoftware weg. Die einzige Möglichkeit, dieses Risiko zu mindern, besteht darin, eine Kontrollinstanz einzurichten, die Maschinenidentitäten wie eben TLS-Zertifikate verwaltet. Diese Plattform sollte völlig unabhängig von Zertifizierungsstellen sein. Nur dann gelingt es Sicherheitsteams die Risiken zu minimieren. Beispiele wie Entrust, Symantec und andere zeigen auf, dass solche Entscheidungen immer öfter getroffen und die Zeiträume darauf zu reagieren immer kürzer werden.
Unternehmen, die TLS-Zertifikate von Entrust einsetzen, sollten nun laut Empfehlung von Google bis zum 31. Oktober 2024 auf digitale Zertifikate von anderen Zertifizierungsstellen umsteigen. Google traf die Entscheidung, weil der Anbieter wiederholt Fehler bei der Ausstellung der Zertifikate einräumen musste.
Der Blick in die nahe Zukunft zeigt, dass sich das Feld der Anbieter von digitalen Zertifikaten weiter entwickeln wird. Die Verlagerung hin zu kürzeren Zertifikatslaufzeiten und der zunehmende Fokus auf Automatisierung unterstreichen die Notwendigkeit flexibler, proaktiver Sicherheitsstrategien. Zertifikatsagilität (CA-Agilität) ist ein Eckpfeiler der Krypto-Agilität und bezieht sich insbesondere auf die Fähigkeit, Zertifikate von CAs wie Entrust schnell gegen vertrauenswürdigere auszutauschen. Nicht zuletzt der Ausblick auf die Anforderungen der Krypto-Agilität in einer Postquantenwelt unterstreicht diese Entwicklung.
Bei der Krypto-Agilität geht es nicht nur darum, auf Szenarien wie aktuell mit Entrust zu reagieren, sondern auch um die proaktive Verwaltung des Lebenszyklus von Zertifikaten. Dazu gehören die Automatisierung von Zertifikatserneuerungen, die Sicherstellung der Einhaltung der neuesten Sicherheitsprotokolle und ein robuster Prozess für den Umgang mit Fehlausstellungen. Durch die Integration von Krypto-Agilität in die Sicherheitsinfrastruktur können Unternehmen das Risiko von Kompromittierungen von digitalen Identitäten verringern.
Sicherheitsteam sollten die folgenden Punkte bedenken:
- Umfassende Sichtbarkeit und Kontrolle: Sie sollten sich einen vollständigen Überblick über ihre Zertifikate verschaffen, um zu verstehen, welche Zertifikate betroffen sind, ihren Status zu verfolgen und den Ersatz zu priorisieren, um Ausfallzeiten von Services zu begrenzen.
- Automatisierte Verwaltung des Lebenszyklus von Zertifikaten: Sie sollten das Ausstellen, die Erneuerung und den Entzug von Zertifikaten automatisieren, um die kontinuierliche Einhaltung von Richtlinien zu gewährleisten und das Risiko manueller Fehler zu verringern.
- Verbesserte Sicherheitslage: Sie sollten ihr Unternehmen vor den Risiken schützen, die mit gefährdeten Zertifikaten verbunden sind, indem sie sicherstellen, dass alle Zertifikate den neuesten Branchenstandards und Best Practices entsprechen.
- Nahtlose Integrationen: Sie sollten einen einheitlichen Ansatz für die Zertifikatsverwaltung wählen. Dieser sorgt für einen reibungslosen Übergang und eine konsistente Durchsetzung der Sicherheitsrichtlinien in allen Systemen.
Fazit
Bereits in der Vergangenheit mussten Zertifikate ausgetauscht und ersetzt werden. Der Vorfall ist also nicht neu, allerdings häufen sich diese Probleme und mehr und mehr Sicherheitsteams benötigen eine Automatisierung, um die betroffenen Maschinenidentitäten zeitnah auszutauschen. Setzen Sicherheitsteams diese Maßnahmen um, können sie ihre Unternehmen und Organisationen auf die Krypto-agile Zukunft schon heute vorbereiten.