Trotz der dokumentierten Unzulänglichkeiten des Simple Certificate Enrollment Protocol (SCEP) wird es auch heute noch häufig verwendet. Dies ist größtenteils auf das Fehlen besserer Optionen für die Zertifikatsregistrierung zurückzuführen - insbesondere bei begrenzteren Geräten wie Mobiltelefonen, Tablets und eingeschränkten Internet-of-Things-Geräten (IoT) wie eingebetteten Systemen, Sensoren, Automobilkomponenten oder medizinischen Geräten. Die Einfachheit von SCEP macht es zu einer attraktiven Wahl für Implementierer, die enge Zeitvorgaben einhalten müssen, aber diese Einfachheit kann ihren Preis haben.
Eines der eklatantesten Probleme mit SCEP ist, dass es keine Endpunkt-Authentifizierungsfunktion enthält - SCEP kennt die Identität des Zertifikatsanforderers buchstäblich nicht. Dies ist ein erhebliches Problem und macht es fast unmöglich, Zertifikatsanforderungen ordnungsgemäß zu überprüfen.
Das Fehlen der Identität des Anfragenden wird nur teilweise durch die Hinzufügung eines optionalen einmaligen Challenge-Passworts gemildert, das der Anfragende bei jeder Anfrage angeben muss (leider ohne Benutzernamen). Leider verwenden viele Systeme SCEP immer noch ohne das Challenge Password zum Schutz.
Selbst fünf Jahre nach der ersten Ankündigung der SCEP-Schwachstelle weisen einige Anbieter ihre Kunden immer noch ausdrücklich an, die Passwörter für ihre SCEP-Server zu deaktivieren - und damit buchstäblich das letzte Fitzelchen an Schutz für die Überprüfung von Abonnenten auszuschalten. Kunden, die diese Anweisung auf SCEP-Servern befolgen, die auch die Unternehmensauthentifizierung unterstützen, erlauben unwissentlich jedem Benutzer, Zertifikate mit beliebigen anderen Identität des Benutzers anzufordern.
CSS ist seit einiger Zeit führend bei der Verbesserung von SCEP, einschließlich der Entwicklung eines patentierten Ansatzes namens VSCEP™ zur Überlagerung von Identitätskontrollen und Inhaltsüberprüfung und zur Überbrückung einiger mit dem Protokoll verbundenen Lücken.
In vielen Fällen ist SCEP immer noch die einzige Option. Neuere Protokolle sind auf dem Weg, werden aber nur langsam angenommen. In der Zwischenzeit können die mit SCEP verbundenen Risiken durch eine ordnungsgemäße Konfiguration und Überwachung gemildert werden.
