Wir haben schon seit einiger Zeit daran gearbeitet, aber jetzt können wir endlich ein Problem öffentlich bekannt geben, das wir im Zusammenhang mit der Verwendung des Simple Certificate Enrollment Protocol (SCEP) in Verbindung mit mobilen Geräten festgestellt haben.
Wir haben monatelang hinter den Kulissen mit den Mitarbeitern des United States Computer Emergency Readiness Team (US-CERT) und des CERT/CC an der Carnegie Mellon University zusammengearbeitet, um unsere Kunden und eine Reihe von Anbietern für das Problem zu sensibilisieren. Der CERT-Bericht ist hier zu finden, und wir haben ein Whitepaper und ein Video auf unserer Website, um weitere Informationen bereitzustellen.
Es ist anzumerken, dass nicht alle MDM-Verwendungen von SCEP gleichermaßen anfällig sind. Die Szenarien, die uns am meisten Sorgen bereiten, sind diejenigen, die die Verwendung von SCEP zur Ausstellung von Authentifizierungszertifikaten für Unternehmenssysteme wie ActiveSync, WiFi und VPN beinhalten.
In einigen Fällen kann es möglich sein, alternative Konfigurationen zu verwenden, die diese Risiken reduzieren oder eliminieren; in anderen Fällen kann dies schwieriger sein. CSS ist bereit, Kunden bei der Bewertung ihrer spezifischen Nutzung von SCEP und PKI zu helfen, um den Grad ihrer Gefährdung zu bestimmen.
Zusätzlich haben wir eine SCEP-Validierungs-Engine in unser Mobile Certificate Management System (mCMS) integriert, die dieses Problem auf sehr elegante Weise löst. Wir stellen diese Engine auch interessierten Drittanbietern zur Lizenzierung zur Verfügung.