Beherrschen Sie Ihre schurkischen Admins: So verwalten Sie SSL -Zertifikate

Im Zuge der digitalen Transformation und der Einführung von Spitzentechnologien in Unternehmen hat der Umfang und die Verbreitung von SSL/TLS Zertifikaten rapide zugenommen, was zu neuen Herausforderungen führt.

Sami Van Vliet, Principal Product Manager bei Keyfactor, und Mrugesh Chandarana, Senior Product Manager bei HID, erörterten in ihrer Sitzung auf dem Keyfactor Virtual Summit bewährte Verfahren zur Verwaltung von SSL Zertifikaten. Dieser Blog enthält eine Zusammenfassung der Erkenntnisse und Empfehlungen, die in der Sitzung behandelt wurden.

Die Verbreitung von IoT Geräten im Unternehmens-Ökosystem und das Aufkommen von Virtualisierung und DevOps-Praktiken haben die Anwendungsfälle von SSL/TLS Zertifikaten in die Höhe schnellen lassen.

Da Unternehmen auf eine schnellere und effizientere Bereitstellung von Geschäftsanwendungen drängen, stellen viele DevOps-Teams Zertifikate ohne Abstimmung mit IT- und Sicherheitsteams bereit.

Mangelnde Transparenz und Kontrolle über Zertifikate und ausstellende Zertifizierungsstellen sind ein ernstes Problem. 74 % der Unternehmen wissen nicht, wie viele Schlüssel und Zertifikate ihr Unternehmen tatsächlich besitzt. Ein Einblick in Ihre Zertifikate ist die Grundlage für die Verwaltung und den Schutz dieser wertvollen Vermögenswerte.

Trotz ihrer Bedeutung werden SSL Zertifikate oft nicht verfolgt und nicht verwaltet. Nahezu jedes Unternehmen hat schon einmal einen Anwendungsausfall aufgrund eines abgelaufenen Zertifikats erlebt. Aus einem kürzlich veröffentlichten Bericht vonKeyfactor und Ponemon geht hervor, dass 87 % der Befragten ungeplante Ausfälle aufgrund abgelaufener Zertifikate erlebt haben.

Ein weiterer Trend, den wir beobachtet haben, ist die Verkürzung der Gültigkeitsdauer von SSL Zertifikaten. Seit 2012 hat das CA/Browser-Forum (CA/B) die Verkürzung der Gültigkeitsdauer von öffentlich ausgestellten Zertifikaten von 60 auf 27 Monate vorgeschrieben.

With the use of SSL/TLS certificates expanding and creating bigger threat surface, Google more recently proposed in 2019 a reduction to one-year lifespans, without success. Apple then strong-armed the CA/B forum by limiting certificate lifespans in its ecosystem to <398 days. These developments prompted Google Chrome and Mozilla to follow suit, forcing the CA/B Forum to set the new lifespan of certificates to just 13 months or 398 days.

Wir gehen davon aus, dass sich dieser Trend in den kommenden Jahren fortsetzen wird. Dennoch ist es heute nicht ungewöhnlich, dass Organisationen Zertifikate mit einer Gültigkeit von nur wenigen Tagen oder Stunden ausstellen.

Mit der zunehmenden Verwendung von Zertifikaten und der verkürzten Lebensdauer hat sich die Arbeitsbelastung für PKI- und Sicherheitsteams praktisch verdoppelt, während ihr Budget gleich geblieben ist. Dies hat eine Reihe neuer Herausforderungen für Unternehmen geschaffen:

• Mangelnde Transparenz. IT-Teams müssen nicht nur für die Serverzertifikate, sondern auch für die Client-Authentifizierungszertifikate einen vollständigen Überblick haben.
• Manuelle Verfahren. Die Beantragung, Erneuerung und Bereitstellung von Zertifikaten mit manuellen Methoden und Tabellenkalkulationen dauert Stunden oder Tage. Dies ist nicht nur zeitaufwändig, sondern auch fehleranfällig.
• Wechselndes IT-Personal. Admins kommen und gehen, auch die E-Mail-Adressen können sich ändern, so dass Benachrichtigungen über das Auslaufen von Zertifikaten nicht empfangen werden. Ausfälle aufgrund von abgelaufenen Zertifikaten sind nur eine E-Mail entfernt.
• Keine Rechenschaftspflicht. Oftmals setzen Administratoren "selbstgebaute" oder integrierte CAs ohne jegliche Sicherheitsaufsicht ein.
• Langsame Reaktion. Wenn ein abgelaufenes Zertifikat ausfällt, ist das Ermitteln und Ersetzen des abgelaufenen Zertifikats an allen Standorten ein zeitaufwändiger Prozess, der viele Stunden oder sogar Tage dauern kann.

Abgesehen von der Gefahr von Ausfällen haben die Anfälligkeit von Algorithmen und die Fortschritte in der Datenverarbeitung den Bedarf an Krypto-Flexibilität erhöht. Die wichtigsten Gründe, die von Unternehmen verlangen, kryptografisch agil zu sein, sind:

• Massenwiderruf: Was passiert, wenn Zertifikate von Ihrer CA kurzfristig widerrufen werden (z. B. DigiCert widerruft 50.000 im Juli 2020)?
• Veraltete Algorithmen: Kryptographische Algorithmen werden ständig auf Schwachstellen untersucht. Die Umstellung auf SHA-2 hat Jahre gedauert, und es wird nicht die letzte Änderung der Algorithmen sein.
• CA-Kompromittierung: Wenn eine CA von einem Angreifer kompromittiert wird, wird die gesamte Vertrauenskette unterbrochen. Die von der CA ausgestellten Zertifikate werden ungültig und auf allen Servern mit Zertifikaten der kompromittierten CA müssen neue Zertifikate installiert werden.
• CA-Flexibilität: Die Möglichkeit, eine CA hinzuzufügen/zu entfernen oder von einer CA zu einer anderen zu wechseln, ist für die geschäftliche Flexibilität von entscheidender Bedeutung, um eine CA-Bindung zu vermeiden.
• Fehler in Krypto-Bibliotheken: Wenn ein Fehler in den Schlüsselgenerierungsfunktionen einer kryptografischen Bibliothek gefunden wird, müssen alle Schlüssel, die seit dem Auftreten des Fehlers generiert wurden, ersetzt werden. Schwachstellen wie Heartbleed in OpenSSL setzen Zertifikate und private Schlüssel einem Risiko aus.
• Quantenkrypto: Die Fortschritte im Quantenbereich erfordern, dass sich Unternehmen auf die unvermeidliche Implementierung von Post-Quanten-Algorithmen vorbereiten. Die Zeit, mit der Planung einer quantensicheren Krypto zu beginnen, ist heute.

Das Erfordernis, in der Kryptowirtschaft agil zu sein, macht die Automatisierung zu einem Muss, um all diese Herausforderungen effektiver zu bewältigen.

1. Sichtbarkeit erlangen

Um den Risiken von TLS Serverzertifikaten zu begegnen, sollten Unternehmen eine klare Übersicht über alle SSL/TLS Zertifikate in ihrer Umgebung erstellen und pflegen. Die Bestandsaufnahme sollte sich auf Folgendes konzentrieren:

• Zertifizierungsstellen (CAs), die die Quelle der meisten Zertifikate sind und mit internen und öffentlichen CAs synchronisiert werden.
• Netzwerk SSL/TLS Endpunkte, um festzustellen, wo alle Zertifikate im Netzwerk installiert sind.
• Schlüssel- und Zertifikatspeicher, um Zertifikate zu finden, die nicht für einen Port im Netzwerk freigegeben sind.

Der Identifizierungsprozess von Unternehmenszertifikaten SSL/TLS sollte feststellen, wo alle Zertifikate installiert sind, und ein zentrales Inventar aller ausgestellten Zertifikate erstellen. Außerdem sollten die Besitzer aller Zertifikate und Domänen ermittelt und die zugehörigen Webserver und Anwendungen verstanden werden.

2. Beseitigen Sie

Sobald alle Zertifikate identifiziert wurden, besteht der nächste Schritt darin, etwaige Schwachstellen zu beseitigen. Dabei sollten Schwachstellen wie schwache Schlüssel oder Hashes gefunden und die Verwendung von Platzhalterzertifikaten und selbstsignierten Zertifikaten kontrolliert werden.

Abgelaufene Zertifikate sollten erneuert werden, und private Schlüssel müssen stets geschützt werden. Schließlich müssen schwache oder unseriöse Zertifikate aus dem Ökosystem der Zertifikate entfernt werden.

Der kürzliche einstündige Ausfall von Spotify, der den Streaming-Dienst aufgrund eines abgelaufenen Wildcard-Zertifikats beeinträchtigte, ist ein Paradebeispiel dafür, warum Transparenz und Abhilfe so wichtig sind.

Der Ausfall von Spotify hat viele nützliche Lehren gebracht. So sind Wildcard-Zertifikate in bestimmten Fällen nützlich, aber ihre Verwendung sollte begrenzt und kontinuierlich überwacht werden. Wenn Wildcard-Zertifikate erforderlich sind, sollten sie mit verschiedenen privaten Schlüsseln erstellt werden, um die Auswirkungen eines Ausfalls zu minimieren.

3. Politik durchsetzen

Die Richtlinie sollte auf Unternehmensebene durchgesetzt werden, um alle möglichen Zertifikatsbesitzer und -nutzer abzudecken, z. B. Netzwerkadministratoren, DevOps, Sicherheitsteams, PKI-Administratoren und IT-Mitarbeiter.

In einer unternehmensweiten Richtlinie für das Zertifikatsmanagement sollten die Zertifikatsinhaber sowie ihre Rollen und Verantwortlichkeiten festgelegt werden. Die Ausstellung und Erneuerung von Zertifikaten muss standardisiert sein, und es muss ein Frühwarnsystem eingerichtet werden, das den Zertifikatsinhabern Warnungen vor dem Ablauf des Zertifikats übermittelt. Schließlich sollten auch Richtlinien für den Widerruf und die Entfernung von Zertifikaten vorhanden sein.

4. Automatisieren und Integrieren

Die zunehmende Verwendung von und der Rückgriff auf SSL Serverzertifikate zur Sicherung wichtiger Anwendungen macht die manuelle Zertifikatsverwaltung unpraktisch. Die Automatisierung ist wichtig geworden, um alle Fragen der Zertifikatsverwaltung kostengünstig und effizient zu behandeln.

Die Registrierung, Installation, Überwachung und Ersetzung von Zertifikaten sollte nach Möglichkeit automatisiert werden. Eine Automatisierungslösung sollte es den Nutzern ermöglichen, ihre eigenen Zertifikate selbst zu verwalten, und sie sollte die Integration mit Cloud- und DevOps-Tools ermöglichen.

5. Überwachen und Berichten

Um sicherzustellen, dass eine Automatisierungslösung korrekt funktioniert, und aufgrund der breiten Verwendung von Zertifikaten in allen kritischen Kommunikationsvorgängen, können Betriebs- oder Sicherheitsfehler im Zusammenhang mit SSL/TLS Zertifikaten den Geschäftsbetrieb erheblich beeinträchtigen. SSL/TLS Zertifikate sollten kontinuierlich überwacht werden, um Ausfälle und Sicherheitsschwachstellen zu vermeiden.

Die Zertifikate sollten auf ihren bevorstehenden Ablauf und auf Situationen überwacht werden, in denen sie nicht funktionieren, nicht richtig konfiguriert oder anfällig sind. Außerdem sollte die Überprüfung Zertifikate aufspüren, die außerhalb der festgelegten Verfahren generiert wurden.

Der Überwachungsprozess sollte alle CRL/OCSP-Aktivitäten überprüfen und die Zertifikatslandschaft regelmäßig auf die kontinuierliche Einhaltung der Zertifikatsrichtlinien prüfen.

Die Verwaltung von SSL Zertifikaten beginnt oft mit manuellen Prozessen (z. B. Tabellenkalkulationen) und reicht bis hin zur dynamischen Zero-Touch-Automatisierung. Je nach den Anforderungen Ihres Unternehmens müssen Sie feststellen, wo Sie stehen und wie Sie Ihre Sicherheit verbessern können, um Ausfälle zu vermeiden und der Kryptokurve voraus zu sein.

Laden Sie das Reifegradmodell für das Zertifikatsmanagement herunter, um loszulegen.