Lehren aus dem Ausfall des Spotify-Zertifikats

Spotify wurde gestern von einer weltweiten Ausfall betroffen, der - Sie haben es erraten - auf eine abgelaufene SSL/TLS Zertifikat. Es scheint, als ob sich das jeden Monat (sogar jede Woche) wiederholen würde.

Ausfälle verursacht durch abgelaufene SSL/TLS Zertifikate kommen viel häufiger vor als in den Schlagzeilen zu lesen ist, und sie können sich auf ganz unterschiedliche Weise äußern.

Zu Beginn dieses Jahres, Microsoft Teams scheiterned zu erneuern a Client-Authentifizierungszertifikatund ließ Millionen von Nutzern gesperrt, da sie von zu Hause aus arbeiten. Letzte Woche in Kalifornien, ein abgelaufenes Zertifikat verursacht eine Untererfassung von COVID-19-Fällen.

In diesem Fall, Spotify-Nutzer nicht in der Lage zugreifen. auf den beliebten Musik-Streaming-Dienst zugreifen. Tausende von ihnen (etwa 4.000 Konversationen) nutzten Twitter unter dem Hashtag #spotifydown - und das alles nur wegen eines abgelaufenen Zertifikats.

Die meisten Organisationen haben Zehn- oder sogar Hunderttausende von dieser SSL/TLS Zertifikaten in ihrer Umgebung. Schritt zu halten mit der Ausstellung und Erneuerung in diesem Umfang ist alles andere als einfachvor allem, weil die meisten Sicherheitsteams immer noch manuelle Methoden verwenden, um sie zu verfolgen.

Es braucht nur einen unerwarteten Ablauf, und schon haben Sie einen kostspieligen Ausfall zu beheben. Manche Unfälle sind jedoch schwieriger zu bereinigen als andere. Das liegt daran weil Zertifikate nicht nur erneuert werden müssen, sondern auch oft müssen aktualisiert auf mehreren Webservern, Anwendungsservern und anderen Stellen in Ihrem Netzwerk, die von ihnen abhängen, aktualisiert werden.

Wenn ein Zertifikat existiert an mehreren Orten vorhanden ist, kann man leicht vergessen, wo es installiert werden muss. Dies ist besonders problematisch bei Wildcard-Zertifikaten.

SSL/TLS Zertifikate werden in der Regel verwendet, um das Vertrauen zwischen öffentlich zugänglichen Websites und dem Webbrowser auf Ihrem Gerät. Einfach ausgedrückt: Wenn Sie eine Website mit einem SSL/TLS Zertifikat besuchen, beginnt die Adresse mit "https://" und nicht mit "https://" (das s steht für sicher). Jedes dieser Zertifikate hat ein Ablaufdatum, an dem es aktualisiert und ersetzt werden muss.

Die meisten Unternehmen haben nicht haben nicht nur eine einzige Websiteallerdings, sie haben mehrere Domains und Sub-Domains (z. B. keyfactor.com, info.keyfactor.com, blog.keyfactor.com usw.). Aus diesem Grund entscheiden sich einige Organisationen oder bestimmte Gruppen innerhalb dieser Organisationen für die Verwendung von Wildcard-Zertifikaten.

Anstatt mehrere SSL/TLS Zertifikate von einer öffentlichen Zertifizierungsstelle (CA) für jede Sub-Domain zu erwerben, kann ein einziges Wildcard-Zertifikat verwendet werden um eine Website und alle ihre Subdomains zu sichern. Dies kann insofern praktisch sein, als Sie weniger Zertifikate für Ihre Infrastruktur beantragen müssen.

Wie auch immer, ist es ein zweischneidiges Schwert, denn ohne ein angemessenes Verwaltung des Lebenszyklus von Zertifikatenkann es schwierig sein, festzustellen, ob Sie das Zertifikat an allen Standorten, an denen es aktualisiert werden muss, ersetzt haben - und das alles gleichzeitig. Außerdem entstehen dadurch Sicherheitsbedenken, da ein einziges Wildcard-Zertifikat Ihre gesamte Infrastruktur gefährden kann, wenn es kompromittiert wird.gesamte Infrastruktur gefährden kann, wenn es kompromittiert wird.

In den meisten Fällen empfehlen wir, keine Wildcard-Zertifikate zu verwenden, einfach wegen des erhöhten Risikos eines Ausfalls oder einer Sicherheitsverletzung, die daraus resultieren könnte.

Nun zurück zu Spotify. Ein kurzer Blick in die Google-Zertifikat-Transparenzprotokolle (siehe das Bild unten) zeigt, dass das jeweilige Zertifikat das diesen Ausfall verursacht hat Ausfall verursachte, tatsächlich ein Wildcard-Zertifikat war. Woran können Sie das erkennen? Das Sternchen neben dem Domänennamen (CN=) verrät es.

Um diese Situation gänzlich zu vermeiden, sollten Sie die Verwendung von Wildcard-Zertifikaten in Ihrem Unternehmen einschränken. Dennochgibt es bestimmte Situationen, in denen sie von Vorteil sein können. So oder so, müssen Sie müssen Sie sicherstellen, dass Sie einen Überblick Sie müssen sicherstellen, dass Sie einen Überblick über alle Zertifikate in Ihrem Unternehmen haben und über Verfahren zur Erneuerung der Zertifikate verfügen, bevor sie ablaufen.

Hier sind einige wichtige Erkenntnisse:

• Beschränken Sie die Verwendung von Wildcard-Zertifikaten in Ihrer Organisation
• Führen Sie ein genaues und aktuelles Verzeichnis der Zertifikates in Ihrer Umgebung, einschließlich (mindestens) Schlüssellänge, Hash-Algorithmus, Ablaufdatum, Standorts, und den Eigentümer des Zertifikats
• Sicherstellen, dass die privaten Schlüssel gespeichert und geschützt nach bewährten Verfahren
• Automatisieren Sie die Zertifikatserneuerung und -bereitstellung, um unerwartete Abläufe zu verhindern.

Es ist Es ist kein Geheimnis, dass Tools zur Automatisierung des Lebenszyklus von Zertifikaten wie Keyfactor Command entwickelt wurden, um diese Anforderungen (und mehr) zu erfüllen. Das rasante Wachstum der Anzahl von Schlüsseln und Zertifikaten in Unternehmen hat manuelle und selbst entwickelte Methoden obsolet gemacht. Bevor Sie sich jedoch mit Tools befassen, sollten Sie Ihre Anforderungen festlegen.

Wenn Sie sich nicht sicher sind, wo Sie anfangen sollen, ist es ein guter Anfang, herauszufinden, wo Sie heute stehen.

Herunterladen das Reifegradmodell für das Zertifikatsmanagement herunter, um zu sehen, wie Ihre Organisation im Vergleich zu den besten Praktiken abschneidet und erhalten Sie praktische Empfehlungen zur Verbesserung Ihrer Prozesse.