Die Festlegung der optimalen Gültigkeitsdauer der Public Key Infrastructure (PKI) für Zertifikate kann entmutigend und komplex sein.
Da die Auswirkungen auf die Netzwerksicherheit und die betriebliche Effizienz erheblich sind, befinden sich Unternehmen oft in einem Tauziehen:
- Wenn Sie die Gültigkeitsdauer zu lang wählen, laufen Sie Gefahr, Probleme mit der Einhaltung von Vorschriften zu bekommen oder veraltete Zertifikate zu haben, die nicht mehr den Sicherheitsstandards entsprechen.
- Wird sie zu kurz angesetzt, erhöht sich der Verwaltungsaufwand und die Wahrscheinlichkeit von Störungen und Ausfällen steigt.
Die Wahl der richtigen Gültigkeitsdauer wird von einigen Faktoren beeinflusst, wie z. B. der Art des Zertifikats, dem Anwendungsfall und den bewährten Sicherheitsverfahren. In diesem Artikel geben wir Ihnen unseren empfohlenen Ansatz für PKI-Entscheidungen und die Vermeidung von zertifikatsbezogenen Fallstricken.
Festlegung der richtigen Gültigkeitsdauer - Was ist zu beachten?
Die Auswahl der geeigneten Gültigkeitsdauer für Zertifikate ist relativ einfach. Melden Sie sich einfach bei der Verwaltungskonsole oder der Verwaltungsoberfläche Ihrer Zertifizierungsstelle (CA) an. Navigieren Sie zu den Konfigurationseinstellungen für Zertifikatsvorlagen oder -profile. Legen Sie dann die Standardgültigkeitsdauer für jeden Zertifikatstyp fest. Wie Sie die Gültigkeitsdauer festlegen, hängt von mehreren strategischen Überlegungen ab:
- Gleichgewicht zwischen Sicherheit und Lebensdauer
- Abwägung zwischen Schlüsselstärke und Rechenaufwand
- Anpassung der Zeiträume an die Zertifikatstypen
Schlüssellänge vs. Rechenressourcen
Längere Schlüssellängen sind sicherer, haben aber einen Nachteil in Bezug auf die erforderlichen Rechenressourcen. Dies ist besonders wichtig in Umgebungen mit eingeschränkten Ressourcen und begrenzter Rechenleistung, wie z. B. IoT .
Nehmen wir zum Beispiel die RSA-Verschlüsselung: Ein 2048-Bit-Schlüssel erfordert erheblich mehr Rechenleistung als ein 1024-Bit-Schlüssel. Der höhere Ressourcenbedarf kann zu Latenzproblemen führen, die den effizienten Betrieb von Echtzeitanwendungen oder -geräten behindern oder sogar unmöglich machen.
Alternativ dazu mildern einige asymmetrische Algorithmen diesen Rechenaufwand. Die Kryptographie mit elliptischen Kurven (ECC) bietet vergleichbare Sicherheit bei kürzeren Schlüssellängen als RSA. Die zusätzliche Effizienz sorgt für ein Gleichgewicht zwischen Sicherheitsanforderungen und Betriebsleistung, ohne die Systemfunktionalität zu beeinträchtigen. ECC eignet sich besonders für Umgebungen, in denen eine schnelle Verarbeitung und Effizienz im Vordergrund stehen.
Verschiedene Arten von Zertifikaten, unterschiedliche Gültigkeitsdauer
Die Exposition und die Verwendung Ihrer Zertifikate bestimmen, wie lange sie gültig sein sollten. SSL/TLS Zertifikate, die die Grundlage der Internetsicherheit bilden, haben in der Regel eine kürzere Gültigkeitsdauer - Google hat sogar empfohlen, die Lebensdauer von Zertifikaten auf 90 Tage zu verkürzen. Durch eine relativ kurze Gültigkeitsdauer wird die Zeit, in der ein kompromittiertes Zertifikat ausgenutzt werden kann, ebenfalls begrenzt.
Andererseits haben Code-Signing-Zertifikate, die häufig zur Authentifizierung von software verwendet werden und weniger der direkten Interaktion mit der Öffentlichkeit ausgesetzt sind, im Allgemeinen eine längere Gültigkeitsdauer von 3 bis 5 Jahren. Die verlängerte Gültigkeitsdauer ist in diesem Fall wegen des geringeren Risikoprofils sinnvoll; sie sind nicht direkt ständigen Bedrohungen ausgesetzt wie die öffentlich zugänglichen Zertifikate.
Interne Zertifikate schließlich, die für interne Server und Anwendungen verwendet werden, bieten die größte Flexibilität. Die Gültigkeitsdauer für diese Zertifikate sollte entsprechend Ihren Sicherheitsrichtlinien und Ihrer betrieblichen Risikotoleranz angepasst werden
Bewährte Praktiken für den Widerruf
Auch der Widerruf von Zertifikaten ist notwendig, um die Sicherheit Ihrer PKI zu gewährleisten. Im Folgenden finden Sie einige gezielte Praktiken, die Sie bei diesem Prozess unterstützen:
Umgang mit ablaufenden Zertifikaten
Beim Ersetzen eines Zertifikats, das bald abläuft, ist es nicht nötig, es vorzeitig zu widerrufen. Es ist praktischer, das alte und das neue Zertifikat während des Überschneidungszeitraums nebeneinander bestehen zu lassen. Sobald das ältere Zertifikat abläuft und ungültig wird, ist das neue Zertifikat weiterhin gültig und einsatzbereit - so werden Serviceunterbrechungen vermieden. Diese Praxis bietet einen nahtlosen Übergang und sorgt für eine kontinuierliche Sicherheitsabdeckung, ohne dass ein manuelles Eingreifen zum Zeitpunkt des Ablaufs erforderlich ist.
Reagieren auf kompromittierte Zertifikate
Wenn ein Zertifikat kompromittiert, missbraucht oder falsch konfiguriert wurde oder wenn sich der Status des Zertifikatsinhabers wesentlich geändert hat (z. B. bei Beendigung des Arbeitsverhältnisses), ist ein aktiver Widerruf erforderlich. Durch den sofortigen Widerruf dieser Zertifikate wird jegliches Vertrauen, das zuvor durch kompromittierte Zertifikate aufgebaut wurde, zunichte gemacht und verhindert, dass sie von unbefugten Benutzern ausgenutzt werden können.
Verwendung von Zertifikatssperrlisten (CRL)
Zertifikatswiderrufslisten (Certificate Revocation Lists, CRL) helfen bei der Verwaltung von Zertifikatswiderrufen. Wenn ein Zertifikat widerrufen werden muss, wird seine Seriennummer zu einer CRL hinzugefügt. Dabei handelt es sich um eine Datei, die von der Zertifizierungsstelle (CA) gepflegt, aktualisiert und regelmäßig veröffentlicht wird. CRLs enthalten eine Aufzeichnung aller widerrufenen Zertifikate zusammen mit dem Datum ihres Widerrufs. Systeme, die die Gültigkeit eines Zertifikats überprüfen müssen, können sich auf diese Listen beziehen, um zu vermeiden, dass ein widerrufenes Zertifikat akzeptiert wird, was die allgemeine Sicherheit erhöht.
Implementierung des Online Certificate Status Protocol (OCSP)
Das Online Certificate Status Protocol (OCSP) kann auch Widerrufsprüfungen durchführen. Im Gegensatz zu CRLs, die ein Herunterladen und eine Listenprüfung erfordern, ermöglicht OCSP Statusprüfungen in Echtzeit, ohne dass große CRL-Dateien verarbeitet werden müssen. Diese Methode reduziert die Latenzzeit und den Overhead, die mit herkömmlichen CRL-Downloads verbunden sind, was besonders für Umgebungen nützlich ist, die eine zeitnahe Überprüfung des Zertifikatsstatus erfordern.
Betonung des Massenwiderrufs und der Wiedererteilung
In Szenarien, in denen mehrere Zertifikate gefährdet sind, kann ein Massenwiderruf und eine Neuausstellung erforderlich sein. Dieses Unterfangen lässt sich mit einem Tool zur Verwaltung des Lebenszyklus von Zertifikaten bewältigen, das den schnellen Widerruf betroffener Zertifikate und die rechtzeitige Neuausstellung neuer Zertifikate ermöglicht.
Dokumentation und Skalierung durch Automatisierung
Da Unternehmen immer mehr Zertifikate mit kürzeren Gültigkeitszeiträumen verwalten, ist für eine effiziente Erneuerung eine Automatisierung erforderlich. Manuelle Nachverfolgungsmethoden, wie z. B. Tabellenkalkulationen, sind zu fehleranfällig und werden mit zunehmendem Umfang und Häufigkeit der Erneuerungen immer weniger realistisch.
Eine gründliche Dokumentation ist ebenso wichtig, unabhängig davon, ob die Prozesse manuell oder über ein Tool für das Certificate Lifecycle Management (CLM) automatisiert werden.
Jedes Zertifikat muss akribisch dokumentiert werden, denn schon ein einziger nicht verfolgter Ablauf eines Zertifikats kann zu Ausfällen und Unterbrechungen führen.
Dieser Dokumentationsprozess ist besonders schwierig in Umgebungen, in denen Teams wie DevOps für die Zertifikatsverwaltung verantwortlich sind und bereits ihre eigenen Tools ausgewählt haben. Eine umfassende Dokumentation über alle Teams und Tools hinweg ist erforderlich, um sowohl Lücken in der Zertifikatsverfolgung zu vermeiden als auch die betriebliche Kontinuität Ihres Unternehmens zu gewährleisten.
Da die Zertifikatsverwaltung immer fortschrittlicher wird und die Bedrohungsakteure ihre Taktiken weiterentwickeln, empfehlen wir, sich an die folgenden Punkte zu halten:
- Halten Sie sich stets an die bewährten Verfahren für die Gültigkeit von Zertifikaten
- Automatisierung der Zertifikatsverwaltung in Ihrem Unternehmen
- Führen einer gründlichen Dokumentation
Die Zukunft der Zertifikatsgültigkeit und der Sicherheitsstandards
Mit der zunehmenden Zahl von Cybersicherheitsvorfällen geht der Trend dahin, die Gültigkeitsdauer von Zertifikaten zu verkürzen.
Technisch gesehen liegt es im Ermessen der Organisationen, die Gültigkeitsdauer nach eigenem Ermessen festzulegen.
Die besten Praktiken werden jedoch oft von Systemen Dritter beeinflusst. Vor allem Webbrowser sind hier führend, indem sie aktiv Zertifikate mit fragwürdigen Zeiträumen markieren und vom CA/Browser Forum abgeleitete Sicherheitsverfahren durchsetzen.
Da diese weit verbreiteten Systeme ihre eigenen Sicherheitsstandards haben, zwingen sie die Branche zu kürzeren Gültigkeitszeiträumen. Es wird erwartet, dass sich dieser Trend fortsetzen wird, da sich die Unternehmen immer mehr der Notwendigkeit bewusst werden, mit den besten Sicherheitsverfahren Schritt zu halten.
Mit diesen entscheidenden Schritten lassen sich nicht nur potenzielle Ausfälle verhindern, sondern auch die Verwaltung von Zertifikaten in immer komplexeren IT-Umgebungen verbessern. Um Ihre Sicherheitslage weiter zu verbessern und die Abläufe zu optimieren, sollten Sie die umfassenden Zertifikatsverwaltungslösungen von KeyFactorin Betracht ziehen.
