Nach dem Heartbleed-Bug sehen sich viele mit der entmutigenden (und teuren) Aussicht konfrontiert, die SSL -Zertifikate auf diesen anfälligen Systemen zu ersetzen. Der Grund dafür ist die Möglichkeit, dass die privaten Schlüssel der gefährdeten SSL -Zertifikate kompromittiert worden sein könnten oder auch nicht. Da es keine Möglichkeit gibt, mit Sicherheit festzustellen, ob Ihre privaten Schlüssel kompromittiert wurden, entscheiden sich viele dafür, die SSL Zertifikate der betroffenen Systeme zu ersetzen.
Aber ist es unbedingt notwendig, teure öffentlich verwurzelte Zertifikate für alle Ihre SSL Zertifikatsanforderungen zu verwenden? In vielen Fällen lautet die Antwort sicherlich ja. Aber das muss nicht immer der Fall sein.
In meiner Laufbahn als PKI-Berater habe ich oft öffentlich verwurzelte SSL -Zertifikate gesehen, die an Orten verwendet wurden, wo privat verwurzelte Zertifikate sicherlich ausgereicht hätten. Die Entscheidung, öffentlich verwurzelte Zertifikate zu verwenden, wird aus einer Vielzahl von Gründen getroffen: ein höheres Maß an Vertrauenswürdigkeit und Sicherheit und geschäftliche Zweckmäßigkeit, um nur einige zu nennen. Administratoren entscheiden sich oft für die Verwendung öffentlicher Zertifikate, weil "das schon immer so gemacht wurde".
Vielleicht kann das Heartbleed-Fehlerereignis dazu genutzt werden, einige dieser Entscheidungen zu überdenken.
Meiner Meinung nach sollte die Entscheidung, ein öffentlich verwurzeltes Zertifikat zu verwenden, auf den PKI-Anforderungen der Anwendung SSL beruhen. Die Entscheidung sollte nicht auf "FUD" - Angst, Unsicherheit und Zweifel - beruhen, nicht auf geschäftlicher Trägheit und schon gar nicht auf Missverständnissen.
Und ich sage "sollte", weil ich oft festgestellt habe, dass die PKI-Anforderungen der Anwendung nicht die primäre Triebfeder für diesen Entscheidungsprozess sind. Administratoren, die für Anwendungen zuständig sind, entscheiden sich oft für öffentlich verwurzelte Zertifikate und gegen privat verwurzelte Zertifikate, weil sie (fälschlicherweise) der Meinung sind, dass öffentlich verwurzelte SSL Zertifikate irgendwie vertrauenswürdiger sind oder mehr Sicherheit bieten als SSL Zertifikate, die sie privat erstellen könnten. Und obwohl dies der Fall sein mag, haben wir alle schon erlebt, dass dies nicht der Fall ist.
Ich war an vielen PKI-Entwicklungen mit privater Beteiligung beteiligt, die zu Unternehmens-PKIs geführt haben, die ein außergewöhnlich hohes Maß an Sicherheit bieten und deren Zertifikate von ihren CP/CPS vollständig dokumentiert und von externen Prüfern validiert werden. Umgekehrt haben wir alle in letzter Zeit in den Nachrichten von den Vertrauensmängeln einiger sehr öffentlicher PKIs gelesen.
Wie Sie sehen, ist es durchaus plausibel, dass die bestehende PKI eines Administrators in der Lage ist, mehr als genug Sicherheit für die Anforderungen seiner SSL Zertifikate zu bieten, und das oft zu deutlich geringeren Kosten. Worauf sollte also ein Administrator, der sein SSL -Zertifikat erneuern muss, seine Entscheidung über "öffentlich/privat" stützen? Die Antwort läuft oft auf das "Vertrauen" in das Zertifikat und nicht auf die "Sicherheit" hinaus. Das heißt, wer wird Ihrem Zertifikat vertrauen müssen? Und woher muss dieses Vertrauen genommen werden?
Als Inhaber einer Anwendung sollte man wissen, wer seinem SSL Zertifikat vertrauen muss. Das heißt, wer wird die Zertifikate verwenden? Mobiltelefone? Firmen-Laptops? Anbieter? Die Öffentlichkeit?
Wenn die Antwort auf die Vertrauensfrage eine Liste von Entitäten ist, über die man absolut keine IT-Kontrolle hat, dann kann man nicht davon ausgehen, dass Ihrem privaten Root-CA-Zertifikat in irgendeiner Form vertraut wird. In diesem Fall muss Ihr neues SSL Zertifikat mit ziemlicher Sicherheit öffentlich gerootet werden.
Wenn die Antwort auf diese Vertrauensfrage jedoch eine Liste von Einrichtungen ist, über die Sie die vollständige IT-Kontrolle haben, wie z. B. Firmen-Laptops, -Server und -Benutzer, dann ist die Wahrscheinlichkeit groß, dass diese Einrichtungen Ihrem privaten Root-Zertifikat bereits vertrauen oder vertrauen können. Das bedeutet, dass Sie die Möglichkeit haben, ein privates Root-Zertifikat SSL zu verwenden.
Während wir alle mit den Folgen des Heartbleed-Fehlers zu kämpfen haben, lohnt es sich, über einen neuen und möglicherweise verfeinerten Ansatz zum Ersetzen der betroffenen Zertifikate nachzudenken. Vielleicht können Sie Ihre eigenen SSL Zertifikate verwenden.
