Kommentar

Juniper nutzte unsichere Zertifizierungsstellen

Transport Layer Security, TLS, E-Mail, Verschlüsselung

Jedes Mal, wenn eine Zertifizierungsstelle (CA) kompromittiert wird, ist das eine schlechte Nachricht. Sie spielen eine wichtige Rolle für die Sicherheit des Internets. CAs authentifizieren und validieren, ob die Websites, mit denen wir uns verbinden, vertrauenswürdig sind.

Sie überprüfen die Existenz der Unternehmen und stellen ihnen eine Maschinenidentität in Form eines TLS-/SSL-Zertifikats. Dadurch werden Browser als vertrauenswürdig eingestuft. Es ist fraglich, ob jedem von Zertifizierungsstellen ausgestellten Zertifikat vertraut werden kann, wenn sie ihre eigene Sicherheit vernachlässigen.

Anzeige

In solchen Fällen müssen alle Zertifikate widerrufen und ersetzt werden, was ohne Automatisierung ein kostspieliger und zeitaufwändiger Prozess sein kann. Dadurch sind Kunden dem Risiko von Ausfällen und Sicherheitsverletzungen ausgesetzt. Für die Zertifizierungsstelle können solche Vorfälle schwerwiegende Auswirkungen auf das Unternehmen haben, da sie auf das Vertrauen von Browsern wie Chrome und Firefox angewiesen ist. Wenn die Browser beschließen, dass der Zertifizierungsstelle nicht mehr vertraut werden kann, könnten sie auf eine schwarze Liste gesetzt werden, was bedeutet, dass ihre Kunden sich anderweitig umsehen müssen.

Kunden sollten prüfen, welchen anderen Zertifizierungsstellen, wie e-Tugra, Juniper vertraut, da dies ein Zeichen für größere Probleme sein könnte. Kunden in den USA, Europa und Asien brauchen e-Tugra nicht zu nutzen, daher sollte Juniper seine Kunden nicht durch die Zulassung unnötiger Zertifizierungsstellen gefährden – von Diginotar bis Symantec konnte beobachtet werden, welche Probleme das breite Vertrauen in Zertifizierungsstellen mit sich bringt.

Für alle Unternehmen – auch für die, die keine Juniper-Kunden sind – ist dies ein weiterer Hinweis darauf, wie weit verbreitet Maschinenidentitäten sind. Unternehmen müssen einen Überblick darüber haben, welche Zertifikate verwendet werden, und wir müssen sie automatisieren, um sie schnell austauschen zu können. Ob es sich um ein CA-Problem, das 90-Tage-Mandat von Google, mehr Cloud-native Software oder sogar um die Post-Quantum-Bereitschaft handelt, der Bedarf an einem schnellen Austausch von Zertifikaten wird nur noch weiter zunehmen.

Unternehmen müssen darauf vorbereitet sein und das maschinelle Identitätsmanagement in ihre normalen, alltäglichen Geschäftsprozesse einbauen – so wie wir es bereits für die Identität von Kunden und Mitarbeitern tun. Auf die Frage, ob die IT-Sicherheitsabteilung in der Lage ist, Benutzerpasswörter schnell zu ändern und ob sie Zertifikate rasch austauschen kann, wird es unterschiedliche Antworten geben. In einer Welt, die zunehmend von KI und Cloud Computing geprägt ist, werden Maschinen für das Wachstum und die Rentabilität von Unternehmen immer wichtiger.

Kevin Bocek

Venafi -

VP Security Strategy & Threat Intelligence

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.