Tagtäglich werden überall auf der Welt Milliarden von Maschinenidentitäten (digitale Zertifikate und kryptographische Schlüssel) ausgestellt, erneuert und widerrufen. Doch immer wieder schleichen sich in diese Prozesse Fehler ein, die dann teuer werden können, wenn es zu Ausfällen oder Sicherheitsvorfällen kommt.
Deshalb beschäftigt sich der vorliegende Beitrag mit diesen drei grundlegenden Vorgängen, um den Verantwortlichen Tipps und Tricks an die Hand zu geben, quasi eine Schritt für Schritt Anleitung. Sobald ein Benutzer ein digitales Zertifikat von einer Zertifizierungsstelle (CA) erworben hat, kann er darüber verfügen wie er möchte. Das heißt aber nicht, dass er sich dann nicht mehr weiter darum kümmern muss. Denn für die Erneuerung von Zertifikaten ist er verantwortlich, ebenso wie für die eventuelle Neuausstellung oder den Widerruf.
1. Erneuerung
Die Zertifikatserneuerung ist ein Verfahren, mit dem ein Benutzer ein neues Zertifikat für den gleichen öffentlichen Schlüssel erwirbt, der in einem ablaufenden Zertifikat verwendet wird. Die meisten SSL-Zertifikate laufen ein Jahr nach Erwerb ab. Damit das Vertrauen der Webnutzer durchgehend gewahrt bleibt, sollten Zertifikatseigentümer planen, ein Zertifikat im letzten Quartal vor dem Ablauf zu erneuern. Die Erneuerung können sie anfordern, indem sie über das Hosting-Bedienfeld ihrer CA einen neuen Certificate Signing Request (CSR) erzeugen.
Die CA wird diesen Antrag dann bearbeiten und die Schritte zur Identitätsprüfung im gleichen Zeitraum abschließen, der auch bei der Bearbeitung des CSR für ein neues Zertifikat erforderlich ist – vorausgesetzt, dass sich die Domain, der Name des Unternehmens und die sonstigen Angaben des Inhabers nicht geändert haben. Anschließend sendet die CA das Zertifikat an den zuständigen Ansprechpartner. Der Inhaber muss dann das neue Zertifikat installieren und konfigurieren, bevor er das alte elektronische Dokument entfernt.
2. Neuausstellung
Die Neuausstellung von Zertifikaten (auch Re-Keying genannt) ist ein Verfahren, bei dem ein Benutzer einen neuen privaten Schlüssel und einen CSR für ein vorhandenes Zertifikat erzeugt. Wie bei DNSimple erläutert, gibt es verschiedene Gründe, warum ein Benutzer ein Zertifikat neu ausstellen lassen muss: etwa, wenn er seinen privaten Schlüssel verloren oder gelöscht hat, wenn er Informationen zum Zertifikat ändern will oder wenn er die Verschlüsselungsstärke des Zertifikats ändern möchte. Sobald das Verfahren zur Neuausstellung abgeschlossen ist, wird ein neues digitales Zertifikat erstellt.
3. Widerruf
Manchmal wird der private Schlüssel eines Zertifikats unsicher. Die Zertifizierungsstelle Let's Encrypt weist darauf hin, dass dies geschehen kann, wenn ein Benutzer den Schlüssel auf einer öffentlichen Website teilt oder wenn Hacker den Schlüssel von den Servern eines Unternehmens stehlen. In Fällen wie diesen kann der Benutzer das Zertifikat widerrufen. Daraufhin wird es annulliert und damit die HTTPS-Verbindung aus der Domain des Inhabers entfernt. Es ist dann Sache des Benutzers, ein neues digitales Zertifikat zu erwerben, zu installieren und zu konfigurieren.
Für ein Unternehmen ist es sehr arbeitsaufwändig, die Übersicht darüber zu wahren, wo sich alle digitalen Zertifikate befinden. Und noch größer ist der Aufwand für die Erneuerung, die Neuausstellung und gegebenenfalls den Widerruf eines Zertifikats. Letztlich geht es hier je nach Unternehmensgröße und Anzahl der Anwendungen, Algorithmen, IT-Systeme und anderen um teilweise Zehntausende Maschinenidentitäten.
Folglich können die Prozesse zur Erstellung und Erneuerung viel Zeit kosten und sehr fehleranfällig sein, wenn sie lediglich manuell und mit Excel-Listen durchgeführt werden. Jeder Fehler kann entweder von Angreifern ausgenutzt werden, um Webnutzer anzugreifen oder aber um den Service zum Absturz zu bringen.
Sie können die Services sogar gänzlich kapern und den Datenverkehr von einer Webseite zu einer infizierten oder bösartigen umleiten. Darüber hinaus kann ein Ausfall eines Online-Shops oder Services Kunden vergraulen und ganze Geschäftsmodelle gefährden. In der Folge wird der Ruf des Unternehmens gefährdet und ihm letztlich finanzieller Schaden zugefügt.
Schlussfolgerung: Automation für Neuausstellung, Erneuerung und Widerrufung
Um ihre digitalen Zertifikate angemessen verwalten zu können, brauchen Unternehmen eine Lösung, die die Erneuerung, Neuausstellung und den Widerruf vereinfacht. Die Plattform von Venafi automatisiert die drei beschriebenen Schritte. Unternehmen können die REST-API des Tools verwenden, um die Erneuerung, Neuausstellung und/oder den Widerruf von Zertifikaten über ein einziges Portal anzustoßen.
Diese Zentralisierung beschleunigt jedes dieser Zertifikatsmanagement-Verfahren und minimiert dadurch das Zeitfenster, in dem ein Angreifer Schaden anrichten könnte. Außerdem benachrichtigt die Plattform automatisch den Inhaber, wenn ein Zertifikat demnächst abläuft.