Fachleute für Public-Key-Infrastrukturen (PKI) und Zertifikatsmanagement haben diesen Sommer keinen Mangel an Neuigkeiten. Von Googles Ankündigung, Entrust-Zertifikaten zu misstrauen, über die bevorstehende Ankunft von Post-Quantum-Kryptoalgorithmen bis hin zur Möglichkeit von 90-tägigen Zertifikats-Lebenszyklen- die Notwendigkeit eines effektiven PKI- und Zertifikatsmanagements steht ganz oben auf der Agenda. Nimmt man noch den Mangel an qualifizierten Fachkräften und die Tatsache hinzu, dass viele von ihnen im Urlaub sind, hat man den perfekten Grund, warum Krypto-Agilität für moderne Unternehmen unerlässlich ist.
DigiCert-Zertifikatssperrung und was Sie wissen müssen
Kürzlich hat DigiCert bekannt gegeben, dass es zu einer Sperrung von Zertifikaten gekommen ist, die ohne ordnungsgemäße Domain Control Verification ausgestellt wurden. Dies betrifft ca. 0,4 % der bei DigiCert gültigen Domain-Validierungen. Die Regeln des CA/Browser Forums verlangen, dass Zertifikate mit Problemen bei der Domainvalidierung ausnahmslos innerhalb von 24 Stunden widerrufen werden müssen. Wir empfehlen dringend, die Hinweise von DigiCert zu befolgen, um festzustellen, ob Sie betroffen sind und die Wahrscheinlichkeit eines Ausfalls zu verringern.
Für Keyfactor Command Kunden, die davon betroffen sind, haben wir unten mehr Details über die Schritte zur Neuanmeldung/Erneuerung betroffener Zertifikate. Da DigiCert für die Sperrung zuständig ist, ist dieser Schritt unter Keyfactor nicht erforderlich und wird von DigiCert durchgeführt.
Keyfactor Command Kunden - Folgen Sie den nachstehenden Schritten:
Um zu sehen, wo DigiCert-Zertifikate installiert sind, gehen Sie auf die Seite Zertifikatsuche und sehen Sie die Registerkarte Standorte. Da DigiCert die Zertifikate widerruft, sollten Sie sich auf die Neuanmeldung/Erneuerung der Zertifikate mit Keyfactor Command konzentrieren:
Klicken Sie mit der rechten Maustaste auf ein betroffenes Zertifikat und klicken Sie auf "Erneuern".
Dadurch wird ein neues DigiCert-Zertifikat ausgestellt und ein Verwaltungsauftrag auf dem Universal Orchestrator erstellt, um das Zertifikat in den Zertifikatspeichern zu ersetzen, in denen das Zertifikat entdeckt wurde.
- Sie können zur Seite Orchestrator Job Status navigieren, um den aktuellen Status des Orchestrator-Jobs zu sehen
Optional: Workflows können, falls gewünscht, verwendet werden, um Dinge zu tun, nachdem das Zertifikat im Zertifikatspeicher bereitgestellt wurde, z. B. Bindungen festlegen
- Um Maßnahmen zu ergreifen, verfügt Command über einen "Certificate Entered Certificate Store"-Workflow, der ausgelöst wird, wenn Zertifikate in einem Zertifikatspeicher auftauchen, um Ihnen zu ermöglichen, Dinge wie API-Befehle aufzurufen, um alle Aktionen durchzuführen, die Ihre Anwendung benötigt, nachdem ein Zertifikat aktualisiert wurde
Krypto-Agilität ist angesichts der zunehmenden Komplexität unerlässlich
Angesichts der zunehmenden Komplexität und der raschen Zunahme von Zertifikaten bei digitalen Diensten, Cloud-Workloads, IoT und anderen Geräten sind derartige Vorfälle unvermeidlich. Unsere Hauptaufgabe ist es, unseren Kunden zu helfen, schnell zu reagieren, unabhängig davon, wo das Problem seinen Ursprung hat.
Aber Vorfälle wie dieser sind Ausdruck eines größeren Trends - nicht mehr nur die PKI ist eine kritische Infrastruktur. Krypto-Agilität, d. h. die Fähigkeit, sich schnell anzupassen und auf solche Vorfälle zu reagieren, wird für die Schaffung und Aufrechterhaltung digitalen Vertrauens immer wichtiger. Im Folgenden finden Sie einige grundlegende Informationen zur Krypto-Agilität, mit denen Sie Ihr Team besser auf das vorbereiten können, was auf Sie zukommt.
Grundlagen der Krypto-Agilität: Beginnen Sie mit Discovery und Inventarisierung
Bei der Krypto-Agilität geht es nicht nur darum, schnell auf Vorfälle zu reagieren. Sie beginnt mit der Erkennung der kryptografischen Ressourcen in Ihrem Unternehmen. In einer Umfrage unter 1.200 IT-Fachleuten haben wir herausgefunden, dass 92 % der Befragten der Meinung sind, dass ihr Unternehmen von einem besseren Einblick in alle ausstellenden Zertifizierungsstellen (CAs) und PKI-Tools profitieren würde. Wir sehen die Unabhängigkeit von Zertifizierungsstellen als Vorteil für unsere Kunden an, da wir uns keine Gedanken darüber machen, woher die Zertifikate stammen oder ob die Kunden an ein Zertifizierungsstellen-Ökosystem gebunden sind.
Die Verwaltung von CAs und Zertifikaten mit effektiver Erkennung und einheitlicher Verwaltung aller kryptografischen Ressourcen ist Schritt 1 bei der effektiven Implementierung von Krypto-Agilität und der Verringerung der betrieblichen Belastung.
Kunden, die früher manuelle Tabellenkalkulationen oder unterschiedliche PKI-Tools verwendet haben, haben mit Lücken in der Transparenz und den nachgelagerten betrieblichen Auswirkungen der Verwendung mehrerer Wahrheitsquellen zu kämpfen. Wenn wir bei potenziellen Unternehmen Untersuchungen durchführen, finden wir häufig Hunderte, wenn nicht Tausende von Zertifikaten, die den Teams nicht bekannt sind - sei es aus Fusionen und Übernahmen, von ehemaligen Mitarbeitern oder aus kurzlebigen Initiativen. Um im Falle von Widerruf oder anderen Vorfällen kryptoagil zu sein, müssen diese Assets in einem einheitlichen Inventar zusammengefasst werden.
Darüber hinaus verändert sich die Zertifikatslandschaft eines jeden Unternehmens ständig, weshalb wir unseren Kunden fortlaufend Einblicke in alle Änderungen ihrer Position in Keyfactor Command. Der Überblick über alles, was verwaltet wird, ist ein wichtiger erster Schritt zur Krypto-Agilität. Aber nicht der einzige.
Krypto-Agilität - Grundlagen: Stellen Sie sicher, dass Ihre Infrastruktur auf der Höhe der Zeit ist
Ein durchschnittliches Unternehmen hat mehr als 80.000 interne Zertifikate und 7 interne ausstellende CAs zu verwalten, was es zu einem wichtigen Bestandteil einer Krypto-Agilitätsstrategie macht.
Höchstwahrscheinlich beeinträchtigt Ihre zugrunde liegende PKI-Infrastruktur die Fähigkeit Ihres Unternehmens, kryptografisch agil zu sein. Im Durchschnitt haben wir festgestellt, dass Unternehmen über 80.000 interne Zertifikate und sieben interne ausstellende Zertifizierungsstellen verwenden. Wenn uns die Ausfälle von CrowdStrike und Microsoft im Sommer 2024 etwas gelehrt haben, dann, dass die Ausfallsicherheit der Infrastruktur notwendig ist, wenn, nicht falls, Ausfälle auftreten.
Microsoft Active Directory Certificate Services (ADCS) ist zwar eine beliebte Lösung, aber aufgrund ihrer Unfähigkeit, moderne Anwendungsfälle und Standards abzudecken, ist sie für viele Unternehmen nicht ideal. Wir hören häufig von potenziellen Kunden, die ihre PKI-Strategie für Microsoft ADCS überdenken, dass sie andere Gründe wie die Umstellung auf hybride und Multi-Cloud-Setups und die fehlende Unterstützung für kryptografische Post-Quantum-Algorithmen als Gründe für die Abkehr von Microsoft ADCS anführen.
Eine umfassende PKI-Plattform wie Keyfactor's EJBCA Enterprise, die überall eingesetzt werden kann und effizienter skalierbar ist, hilft Teams, das Risiko von Ausfällen zu mindern und digitales Vertrauen und Krypto-Agilität zu gewährleisten.
Krypto-Agilität - Grundlagen: Automatisieren, automatisieren, automatisieren
Wenn Sie über ein zentralisiertes kryptografisches Inventar und eine solide PKI-Infrastruktur verfügen, ist es an der Zeit, Ihre bestehenden manuellen Prozesse zu automatisieren. Wir arbeiten jedes Jahr mit Hunderten von neuen Kunden zusammen, um ihre aktuellen Prozesse für die Verwaltung des Lebenszyklus von Zertifikaten zu verstehen und herauszufinden, wie wir sie automatisieren können. In einigen Fällen haben wir die Erneuerungszeiten für überlastete Teams von Wochen auf Sekunden reduziert.
Keyfactor Command Die Verwaltung des Lebenszyklus von Zertifikaten ist CA-unabhängig, d. h. wir arbeiten mit fast jeder CA zusammen und integrieren viele der führenden Anbieter von Zertifikats-Workflows wie F5 Networks, Microsoft IIS, Java Key Store, Azure Key Vault, Hashicorp und viele mehr.
Workflows sind eine gute Möglichkeit, bestehende Prozesse zu automatisieren und die Wahrscheinlichkeit eines Ausfalls von Zertifikaten zu verringern
Workflows in Keyfactor Command sind eine leistungsstarke Möglichkeit für Unternehmen, Benachrichtigungen und Genehmigungen zu konfigurieren und Prozesse zu automatisieren. Kunden schätzen sie als Möglichkeit, Zeit zu sparen und Krypto-Agilität zu gewährleisten. Weitere Details finden Sie in der Einführung in die Zertifikatsautomatisierung oder in einer Demo, um mehr zu erfahren.
Krypto-Agilität ist die neue kritische Infrastruktur
Da Unternehmen immer mehr Zertifikate weltweit einsetzen, ist eine flexible Krypto-Infrastruktur für das digitale Vertrauen unerlässlich. Es kommt nicht nur auf Ihre PKI- und Zertifikats-Lebenszyklus-Management-Tools an, sondern auch darauf, wie schnell Teams automatisiert auf Vorfälle reagieren können, die Ihre Umgebung betreffen.
Wenn Sie daran interessiert sind, die Krypto-Agilität Ihrer Organisation zu verbessern, sollten Sie sich mit uns in Verbindung setzen.