Es gibt viel zu lernen aus den Nachrichten der letzten Woche über Googles Entscheidung, Entrust für Google Chrome zu misstrauen. Alle Zertifikate, die nach dem 31. Oktober 2024 von Entrust Root-Zertifizierungsstellen (CA) ausgestellt werden, werden vom Google Chrome-Browser nicht mehr als vertrauenswürdig eingestuft.
Berichten zufolge ist die Entscheidung von Google, sich von den öffentlichen Zertifizierungsstellen (CAs) von Entrust zu trennen, auf ein "beobachtete Muster der Nichteinhaltung von Vorschriften, nicht eingehaltene Verbesserungszusagen und das Fehlen von greifbaren, messbaren Fortschritten als Reaktion auf öffentlich gemeldete Vorfälle." Digitale Zertifikate wurden fälschlicherweise ausgestellt, was zu allgemeinen Sicherheitsbeeinträchtigungen geführt hat. Die Reaktion von Google ist zwar bedauerlich, zielt aber darauf ab, die Integrität der Public-Key-Infrastruktur (PKI) im Internet zu wahren. In der heutigen zunehmend digitalen Welt ist die PKI von entscheidender Bedeutung für den Schutz der Vertraulichkeit und Authentizität der Kommunikation zwischen Webbrowsern und Servern für Webinhalte. PKI ist der Garant für digitales Vertrauen in unserer Online-Welt.
Was bedeutet das für die Unternehmen?
Unternehmen, die wollen, dass ihre öffentlich zugänglichen Websites und Anwendungen über den Chrome-Browser zugänglich sind, der mehr als 65 % aller Internetnutzer ausmacht, müssen die Migration planen und sicherstellen, dass von Entrust ausgestellte Zertifikate, die bald ablaufen, erneuert und durch Zertifikate einer anderen vertrauenswürdigen Zertifizierungsstelle ersetzt werden.
Was können wir aus dieser Entscheidung lernen?
Es gibt vier wichtige Lehren aus der jüngsten Entscheidung von Google, Entrust zu misstrauen.
Erste ist die Bedeutung der CA-Agilität. Bei der Nutzung öffentlicher Zertifizierungsstellen besteht immer das Risiko, dass eine Zertifizierungsstelle Zertifikate widerruft oder von den Vertrauensspeichern der Webbrowser als nicht vertrauenswürdig eingestuft wird (dies ist in den letzten Jahren mehrfach geschehen). Um dieses Risiko zu minimieren und Unterbrechungen zu vermeiden, müssen Unternehmen die Möglichkeit haben, CAs einfach hinzuzufügen, zu wechseln und zu migrieren, oder eine Multi-CA-Strategie verfolgen.
Zweitens ist der kritische Bedarf an Krypto-Agilität. Jede Zertifizierungsstelle macht Fehler, und Webbrowser sind gezwungen, die schwierige Entscheidung zu treffen, Zertifikate zu widerrufen. Tatsächlich ist dies im letzten Jahr mehrfach geschehen, z. B. Mozillas Misstrauen gegenüber den öffentlichen CAs von Entrust im Mai. Unternehmen müssen in der Lage sein, Widerrufe in großem Umfang zu handhaben und neue Zertifikate anstelle der alten zu installieren, ohne den Geschäftsbetrieb zu unterbrechen.
Drittens sollten Unternehmen nicht alles auf eine einzige öffentliche CA setzen. Unternehmen sollten außerdem vermeiden, öffentliche Zertifizierungsstellen für andere Bereiche als solche zu verwenden, die öffentliches Vertrauen erfordern, z. B. für öffentlich zugängliche Websites und Anwendungen (z. B. für eine mobile Anwendung, die mit der Cloud kommuniziert). Bei einer privaten PKI wird die Verschlüsselung innerhalb der internen Server und Systeme einer Organisation eingesetzt, um die Authentizität von Benutzern und Geräten zu überprüfen. In diesem Fall werden private Zertifizierungsstellen für die Ausstellung von Zertifikaten eingerichtet und intern verwaltet, wodurch das Risiko eines unbefugten Zugriffs und einer möglichen Gefährdung durch externe Stellen verringert wird.
In unserer digitalen Welt ist Vertrauen alles, und mit einer privaten PKI können Unternehmen denjenigen, die sich auf ihre CAs verlassen, ein höheres Maß an Vertrauen bieten.
Vierterist diese Situation ein frühes Warnsignal für das, was auf uns zukommt Post-Quantum-Kryptographie (PQC). Das Ersetzen aller öffentlich vertrauenswürdigen Zertifikate einer Zertifizierungsstelle ist ein Tropfen auf den heißen Stein im Vergleich zu dem, was für die Umstellung auf quantensichere Algorithmen erforderlich sein wird. Diese Entscheidung ist eine gute Erinnerung daran, dass Unternehmen so früh wie möglich mit der Planung für den Übergang zu PQC-Algorithmen beginnen müssen, um katastrophale Unterbrechungen zu vermeiden.
Wie kann Keyfactor helfen?
In Vorbereitung auf die bevorstehende Änderung von Chrome sollten IT- und Sicherheitsverantwortliche ihre PKI- und Zertifikatslandschaft sorgfältig prüfen. Unternehmen müssen schnell handeln, um betroffene Zertifikate zu identifizieren und zu ersetzen, und das ist ein Prozess, der nicht manuell durchgeführt werden kann.
Mit Keyfactor Commanderhalten Kunden die nötige Transparenz und Automatisierung, um den Übergang zu einer neuen CA nahtlos zu vollziehen. Keyfactor Command gibt Unternehmen einen Überblick über alle ihre Zertifikate über ein einziges Dashboard und hilft ihnen, Risiken schnell zu erkennen und zu beheben.
Benutzer können auch Keyfactor Orchestrators und vorgefertigte Plugins nutzen, um die Zertifikatserneuerung, -bereitstellung und -installation mit nur einem Klick oder ganz ohne Klick zu automatisieren. Für diejenigen, die digitale Zertifikate von Entrust nutzen, bieten die Angebote von Keyfactor Command die notwendige Flexibilität, um PKI und Zertifikatsmanagement ohne Unterbrechung der Produktivität zu migrieren.
Bei der Vorbereitung auf PQC können die Unternehmen das KeyfactorPQC-Labor - nutzen, eine kostenlose, SaaS-basierte Sandbox, die es Teams ermöglicht, eine PQC-fähige CA zu generieren und innerhalb von Minuten quantenresistente Zertifikate auszustellen. Die Sandbox ist jetzt in Azure verfügbar.
Die wichtigsten Erkenntnisse für das künftige Zertifikatsmanagement
Die Entscheidung von Google, Entrust das Vertrauen zu entziehen, ist ein Weckruf für Unternehmen. Digitales Vertrauen ist nicht statisch; es ist immer bedroht.
Um widerstandsfähig zu bleiben, benötigen Unternehmen einen vollständigen Überblick über alle Zertifikate, die Möglichkeit, den Austausch und die Korrektur von Zertifikaten in großem Umfang zu automatisieren, und vor allem die Flexibilität, CAs hinzuzufügen, zu migrieren oder zu wechseln, ohne dass es zu Unterbrechungen kommt.
Wenn Sie mehr darüber erfahren möchten, wie Keyfactor Ihre Organisation bei dieser Umstellung unterstützen kann, wenden Sie sich bitte hier Kontakt aufnehmen.