Wie ich die Kontrolle über meine PKI verlor

Auf der Fahrt ins Büro bemerke ich die knospenden Birken und frage mich, wann meine Allergien ihren Höhepunkt erreichen werden, ich schätze in etwa zwei Wochen. Als ich an meinem Schreibtisch ankomme, nicken mir ein paar Kollegen zu. Ich unterhalte mich mit einer Kollegin, die über ein neues Auto nachdenkt. Ein anderer freut sich auf einen Wochenendausflug mit seiner baldigen Verlobten. Alle morgendlichen Aktivitäten entsprechen dem Status quo. Kaffee nachfüllen. System hochfahren. BitLocker-Eingabe. Eingabe der zertifikatsgeschützten PIN, um alle meine Arbeitsstationen zu starten. Wie eine rhythmische Kadenz. Ich beginne, meine tägliche Liste von Überwachungsaufgaben abzuhaken.

1. Prüfen Sie bevorstehende Zertifikatsabläufe
2. Prüfen Sie die CA-Protokolle
3. Prüfen Sie den Status bekannter CRLs
4. Überprüfung und Zuweisung von Supportanfragen

Check, Check, Check, Check

Ein paar kleinere Supportanfragen fließen weiterhin durch das System. Eine davon besagt, dass mit unserem sekundären Telefonsystem etwas nicht in Ordnung ist - seltsam, aber nicht allzu alarmierend. Das System war schon immer fehlerhaft, ebenso wie unsere manuellen Überwachungsprozesse, SHA-1 PKI und die unverschämte Anzahl der Zertifikate. Terry, unser alter "PKI-Mann" (der neben seinen vielen anderen Aufgaben auch als PKI-Master galt), war seit 22 Jahren im Unternehmen und ging erst vor sechs Wochen in den Ruhestand, so dass ich die Verantwortung übernahm:

• ein dreiseitiges Handbuch
• Kopien unserer CP/CPS von 2006
• einige Notizen zur Hühnerkratz-Architektur
• und ein paar Stunden "Wissenstransfer" auf dem Weg nach draußen

So wurde ich einfach zum "neuen PKI-Mann".

Am ersten Tag nach Terrys Weggang war mein erster Vorschlag, unsere Zertifikate, CRLs und CAs sowie die gesamte Verwaltung ihres Lebenszyklus in den Griff zu bekommen. Eine Bestandsaufnahme sowohl der intern ausgestellten als auch der externen vertrauenswürdigen Zertifikate, die wir erworben hatten, gefolgt von einer besseren Methode zur Registrierung, Erneuerung und zum Widerruf - aber das kam bei der oberen Führungsebene nicht gut an.

"Warum etwas reparieren, das nicht kaputt ist? Halten Sie sich mit Ihren Tabellen und Notizen auf dem Laufenden"... "Terry hat das jahrelang ohne Probleme gemacht - ich weiß nicht, warum Sie das nicht auch können." In meinen vier Jahren bei diesem Unternehmen hatte ich gelernt, mich zurückzuhalten und nicht zu ehrgeizig zu sein, wenn es darum ging, neue Automatisierungsplattformen oder -methoden vorzuschlagen, und zwar aus den folgenden Gründen

• kein Budget
• zu viele betroffene Abteilungen
• Schmerzen beim Wechsel vom derzeitigen "System"

Bringen Sie das Boot nicht ins Wanken.

Tief atmend komme ich in die Realität zurück und stelle fest, dass ich den Ozean nicht zum Kochen bringen kann. Ein Gefühl des Friedens überkommt mich. Vielleicht habe ich sogar Zeit, die wichtigsten Sicherheitsprognosen und -bedrohungen für dieses Jahr durchzugehen (ja, ich weiß, es ist Juni). Ich weiß, ich *sollte* vorausschauender denken, aber ich kann nicht anders, als mich angesichts unserer tickenden Zeitbombe, auch bekannt als veraltete und unzureichend verwaltete PKI, und der manuellen Aufgaben, die mich täglich belasten, überfordert zu fühlen. Ich frage mich (nur einen Augenblick lang), wie lange sie schon tickte, bevor ich sie geerbt habe. Vielleicht ist Unwissenheit wirklich ein Segen.

Ein paar Stunden vergehen. Ich denke über das Mittagessen nach, wieder eine Lieferung von Jimmy John's? Klar, warum nicht. Ein weiterer E-Mail-Scan. Ich stelle fest, dass die Behebungskette für die Support-Tickets, die ich heute Morgen ausgestellt habe, als fehlgeschlagen zurückkommt. Meine E-Mail an die Person, die für unser Urlaubsantragssystem verantwortlich ist, kam ohne Benutzerfehler oder Serverprobleme zurück. Dasselbe gilt für den zweiten Kontakt im Telefonsystem. Seltsam. Ich will Justin für eine weitere Eskalation anpingen, als ich feststelle, dass mein Internetzugang nicht funktioniert. Nur das Wi-Fi? Nein, das gesamte Netzwerk. Ich schaue auf mein Tischtelefon und sehe auch dort die Fehlermeldung. Erst langsam, dann auf einmal treffen sie mich wie eine Tonne Ziegelsteine. Zugriffsverweigerungswarnungen. Niemand kann auf das Netzwerk zugreifen. Der drohende Untergang.

Mein Handy klingelt, nicht einmal, sondern zweimal und dann ein drittes Mal in schneller Folge. Von unserem externen Warnsystem, das den Zugriff auf die Domäne überwacht, gehen E-Mails ein. Mein Herz beginnt zu rasen. Ich beginne zu hoffen, dass ich ein Memo für einen geplanten Ausfall unseres Internetanbieters verpasst habe - aber die Situation glich zu sehr "The Perfect Storm", als dass dies der Fall gewesen wäre.

Ich beginne, eine Liste von Zugangsverweigerungen zu erstellen (die leider immer länger wird):

• unternehmensweites Netzwerk
• unternehmensweites Wi-Fi
• Haupttelefonanlage
• sekundäres Telefonsystem
• Kundenportal
• interner Dateiserver
• Urlaubsantragssystem

Dies war eine altbewährte Feuerübung. Ich alarmiere verzweifelt unser Führungsteam und beginne zu graben. Ich blättere durch die Protokolle und gehe meine "Checks" noch einmal durch - habe ich vorhin etwas übersehen?

Eine Glühbirne leuchtet auf, als ich mich an ein Whitepaper von Gartner erinnere, das ich vor Monaten gelesen habe. Was ist mit einem abgelaufenen Zertifikat? Ha, welches? Wir haben Tausende. Konzentration. Ich beginne, die Ablaufdaten der Zertifikate für die betroffenen Systeme zu überprüfen. Gültige Daten - vielleicht eine nicht verfügbare oder veraltete Zertifikatswiderrufsliste (CRL)? Meine Güte, ich habe keine Ahnung, wo diese Listen geführt werden. Das ist nie passiert, als Terry hier war. Warum ich?

Die Erkenntnis, warum dies nie zuvor passiert war, war einfach, was es umso frustrierender machte. Der Knackpunkt ist, dass Terry die CRL für zahlreiche Anwendungen auf einem Server gehostet hat, der außer Betrieb genommen wurde. Wie sich herausstellte, sah das IT-Ops-Team, dass ein separater Server, der Terry gehörte (und den es nicht mehr gab), eindeutig nicht mehr benötigt wurde, und beschloss, den Stecker zu ziehen. Ein Webserver, auf dem sich die CRL befand, auf die alles verwiesen wurde, wurde kampflos abgeschaltet - ohne Warnung. Wie reizvoll - all dieses Chaos, verursacht durch eine zufällige CRL. Das wirft eine existenzielle Frage auf: Wenn eine CRL nicht zugänglich ist oder ein Zertifikat abläuft und niemand in der Nähe ist, um es zu sehen, ist das dann ein Problem? Auf jeden Fall.

Ich hoste die CRL an einem anderen Ort und starte den Disaster-Recovery-Modus. Sicherstellen, dass der Zugang überall wiederhergestellt ist. Schadensbegrenzung mit den internen Teams. Persönlich sicherstellen, dass der Zugang unseres CEO wiederhergestellt wird. Kümmere mich um den unternehmensweiten Produktivitätsverlust usw., aber die Gegenreaktion hat gerade erst begonnen. Unsere Kundenerfolgs- und Vertriebsteams stürmten wütend in mein Büro: "Wie erkläre ich das unseren Kunden? Wie können wir sicherstellen, dass so etwas nicht noch einmal passiert?" Ich kauere, gebe eine entschuldigende, aber allgemeine Antwort und frage mich, wie ich *wirklich* sicherstellen kann, dass so etwas nicht mehr vorkommt. Diesmal war es ein CRL-Problem, aber ich hatte keine Ahnung, wo die anderen CRLs gehostet wurden oder wo die Tausende von Zertifikaten, die wir ausgestellt hatten, lebten oder wofür sie überhaupt gedacht waren. Zu meinem verdrehten Magen gesellte sich ein pochender Kopfschmerz.

In dieser Nacht begann ich zu bewerten, wie sehr meine PKI von Anfang an aus dem Ruder gelaufen war und wie viel schlimmer es in den letzten sechs Wochen geworden war. Ich richtete eine dritte Zertifizierungsstelle ein, um die sichere Wi-Fi-Authentifizierung zu unterstützen. Wir stellten für jedes Gerät, das eine Wi-Fi-Verbindung herstellte, eine riesige Anzahl von Zertifikaten aus, so dass meine alte Methode der manuellen Nachverfolgung von Zertifikats- und CRL-Daten in einer Kalkulationstabelle völlig unbrauchbar wurde. Hinzu kam, dass verschiedene Personen aus völlig unterschiedlichen Abteilungen in verschiedenen Gebäuden Zertifikate ausstellten, ohne dass ich davon wusste. Ich war entsetzt über meine Verantwortungslosigkeit. Wie konnte ich zulassen, dass ein so mächtiges Authentifizierungsattribut völlig unkontrolliert bleibt? Im Handumdrehen hatte ich die vollständige Kontrolle über meine PKI verloren. Während ich glücklicherweise fantastische neue Anwendungsfälle unterstützte und unseren CISO mit zusätzlichen Sicherheitsebenen durch die Zertifikate, die wir intern von unserer eigenen PKI ausgestellt hatten, glücklich machte, habe ich unwissentlich einen Schuss direkt auf meinen eigenen Fuß abgegeben, indem ich zuließ, dass diese Zertifikate und CRLs zu unhandlich wurden.

Dieser Tag wird für mich und mein nunmehr ehemaliges Unternehmen in die Geschichtsbücher eingehen. Bitte lernen Sie aus meinen Fehlern - denken Sie über die Implementierung einer Plattform für den Lebenszyklus von Zertifikaten und die PKI-Verwaltung nach und handeln Sie, bevor es zu spät ist - ich wünschte, ich hätte es getan.