Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Kürzere Lebenserwartung, größere Risikolücken: Vorbereitung auf die Umstellung auf 90-Tage-Zertifikate TLS

SSL/TLS Bescheinigungen

Es geht wieder los. Am 3. März kündigte Google einen Vorschlag an, die Lebensdauer von öffentlichen TLS Zertifikaten von derzeit 398 Tagen auf nur 90 Tage zu verkürzen. Das ist wie ein Déjà-vu für IT- und Sicherheitsteams, die in den letzten Jahren eine immer kürzer werdende Lebensdauer erlebt haben.

Die Verkürzung der Lebensdauer von digitalen Zertifikaten bedeutet, dass Unternehmen ihr Zertifikatsmanagement verbessern müssen. Das bedeutet, eine optimale Sichtbarkeit zu gewährleisten, um schnell auslaufende Zertifikate zu erkennen bevor sie problematisch werden und kostspielige Ausfälle und Ausfallzeiten verursachen.

Hier teilen wir die Auswirkungen von Googles "Gemeinsam in Bewegung" und wie Sie sich am besten auf die bevorstehenden Veränderungen vorbereiten können.

Kürzere Lebenszyklen erfordern häufigeres Zertifikatsmanagement

Unternehmen stellen in großem Umfang Zertifikate aus, und laut dem jährlichen Bericht von KeyfactorState of Machine Identity Berichtliegt die durchschnittliche Anzahl der in einer Organisation ausgestellten Zertifikate bei 256.000. Aber mehr Zertifikate können zu mehr Problemen führen, wenn ein Unternehmen sie nicht verwalten kann.

Fast zwei Drittel (62 %) der Befragten gaben an, sie wüssten nicht, wie viele Zertifikate sie besitzen. Ohne Transparenz können sie nicht leicht feststellen, wem diese Zertifikate gehören, wer sie ausgestellt hat oder auf welchen Anwendungen oder Servern sie installiert sind. Das Problem wird sich mit der kürzeren Lebensdauer von Zertifikaten noch verschärfen, denn 72 % der Befragten gaben an, dass die zunehmende Verwendung von Schlüsseln und Zertifikaten den Druck auf ihre Teams erhöht.

Nicht die Zertifikate sind das Problem. Es ist einfach die menschliche Natur. Die Menschen sind vergesslich und können ihre Aufmerksamkeit nur auf eine bestimmte Anzahl von Dingen richten. Das ist wichtig, wenn man bedenkt, dass die Lebensdauer von Zertifikaten abnimmt und der Arbeitsaufwand für die Erneuerung von Zertifikaten um das 4-5fache steigt.

Sicherheitsgewinn versus operativer Schmerz

Das Projekt "Moving Forward, Together" von Google umfasst mehrere Änderungsvorschläge, von denen die maximale Gültigkeitsdauer von Zertifikaten von 90 Tagen die größte Auswirkung haben dürfte. Mit dieser Änderung soll die Sicherheit verbessert werden, indem das Zertifikat für einen kürzeren Zeitraum zur Verfügung gestellt wird. Das ist ein ähnliches Konzept wie das häufige Ändern eines Passworts. 

Es wurde jedoch darüber diskutiert, ob der Sicherheitsgewinn den operativen Aufwand wert ist. Aus diesem Grund gibt es Bestrebungen, die betriebliche Belastung durch die Automatisierung von zertifikatsbezogenen Aufgaben wie Registrierung, Erneuerung und Bereitstellung zu verringern. 

ACME kann Unternehmen zwar bei der Automatisierung helfen, ist aber keine Allzwecklösung. IT- und Sicherheitsteams benötigen einen vielschichtigen Ansatz für die Automatisierung, einschließlich der Verwendung von branchenüblichen Registrierungsprotokollen wie ACME, SCEP und EST sowie von Tools zur Automatisierung des Lebenszyklus von Zertifikaten, um sicherzustellen, dass sie für die vielfältigen Anwendungsfälle in ihrem Unternehmen gut gerüstet sind. 

Sie müssen auch sicherstellen, dass nicht nur die Erneuerung, sondern auch die Bereitstellung und Installation von Zertifikaten automatisiert wird. Hier treten häufig Probleme auf. Ein Anwendungseigentümer erneuert ein Zertifikat, vergisst aber, es zu installieren, installiert es falsch oder verschwendet einfach Stunden seiner Zeit, die er sonst für seine Prioritäten verwenden könnte. Die Automatisierung des gesamten Lebenszyklus eines Zertifikats trägt dazu bei, diese menschlichen Fehler zu reduzieren und den Zeitaufwand für sich wiederholende, lästige Aufgaben wie diese zu verringern oder sogar ganz zu vermeiden.

Keine Panik, sondern Vorbereitung

Es besteht Ungewissheit darüber, wann - und ob - die Umstellung auf 90-Tage-Bescheinigungen erfolgen wird. Die Änderung erfordert eine Abstimmung, die sechs bis 12 Monate dauern könnte, gefolgt von einer Übergangsfrist. Außerdem wird die Umstellung bereits durch die EU-Kartellvorschriften behindert.

Die einzige Konstante im Bereich der Sicherheit ist der Wandel, und die Frage ist nur, wie und wann sich dieser Wandel vollziehen wird. Die Vorbereitung auf eine solche Veränderung geschieht nicht über Nacht, sondern erfordert Zeit und sorgfältige Planung.

Welche Maßnahmen können Unternehmen also ergreifen, um vorbereitet zu sein? Es sind genau die gleichen Maßnahmen, die Sie bereits für Ihre 398-Tage-Zertifikate ergreifen sollten:

  • Sichtbarkeit: Verschaffen Sie sich einen Überblick darüber, wo sich alle Zertifikate in Ihrem Netzwerk befinden.
  • Rechenschaftspflicht: Definieren Sie den Besitz des Zertifikats und delegieren Sie die Verantwortung für den Lebenszyklus des Zertifikats.
  • Richtlinien und Prozesse: Vereinfachen Sie die Beantragung und Genehmigung von Zertifikaten mit der Self-Service-Registrierung.
  • Automatisierung: Automatisieren Sie den gesamten Lebenszyklus mit Warnungen, Verlängerungen und Provisioning.

Denken Sie daran, dass es bei der Automatisierung um mehr geht als nur darum, das Zertifikat an das Asset zu senden. Es geht darum, die Anlage für die Verwendung des Zertifikats zu konfigurieren und dann zurückzumelden, dass das Zertifikat aktualisiert wurde und nun vom Gerät verwendet wird. Wenn dann etwas nicht nach Plan läuft, haben Sie genug Zeit, um zu reagieren und Abhilfemaßnahmen zu ergreifen.

Wenn Sie mehr über die Auswirkungen von Googles "Moving Forward, Together"-Projekt erfahren möchten und darüber, wie Keyfactor Ihnen helfen kann, sich auf die verkürzte Lebensdauer von Zertifikaten vorzubereiten, sehen Sie sich das On-Demand-Webinar an Die Umstellung auf 90-Tage-Zertifikate TLS : Wie Sie sich vorbereiten.