Thought Leadership
Wenn man mit Fortune-50-Unternehmen spricht, geht es zumeist um die vielen technologischen Herausforderungen, denen sich Firmen in dieser Größenordnung stellen müssen. Konkret handelte es sich um ein Unternehmen mit weltweit mehr als 200.000 Mitarbeitern, das sich zudem auf eine Technologie älteren Datums stützt. Das macht es nicht unbedingt leichter, das komplette System abzusichern.
Dazu kommt eine Reihe von Regeln und Vorschriften, nicht zuletzt solche, wie sie die Browser-Anbieter Apple, Google, Microsoft und Mozilla vorgeben.
Änderungen bei der Zertifikatslebensdauer
Apple und andere Browser haben in den letzten Jahren von sämtlichen Zertifizierungsstellen verlangt, den Lebenszyklus digitaler Zertifikate schrittweise zu verkürzen. Alles im Namen höherer Sicherheit. So kündigte beispielsweise Apple im Jahr 2020 auf einer Sitzung des CA/Browser-Forums im Februar unerwartet an, dass das Unternehmen für seine Geräte eine Zertifikatslaufzeit von 398 Tagen einführen werde. Und dies entgegen der üblichen Vorgehensweise, sich nämlich vorab mit anderen Browser-Anbietern und Zertifizierungsstellen abzustimmen. Mozilla und Google zogen denn auch zügig nach. Infolgedessen zeigen Browser und Geräte von Apple, Google und Mozilla seit dem 1. September 2020 Fehler für neue TLS-Zertifikate an, die eine Lebensdauer von mehr als 398 Tagen aufweisen.Am 28. Januar 2022 änderte Apple jedoch seinen Kurs und beschloss auch weiterhin Zertifikate mit einer Lebensdauer von drei Jahren zuzulassen. Für die Zukunft kann man von weiteren Änderungen ausgehen, aber im Moment ist es der Status quo.
Die Browser-Anbieter argumentieren, dass Zertifikate anfälliger werden, je länger ihre Lebensdauer währt. Damit steige die Wahrscheinlichkeit, dass ein Konto kompromittiert wird. Das kann daran liegen, dass jemand einfach vergessen hat, die Zertifikate zu widerrufen, oder dass die Person, die die Zertifikate ausgestellt hat, das Unternehmen bereits verlassen hat. Nach einer Vielzahl von Datenschutzvorfällen drängen die Browser nun darauf, die Gültigkeitszeiträume zu verkürzen.
Solche Entscheidungen wirken sich naturgemäß auf die Arbeit von Zertifizierungsstellen aus. Wirklich betroffen sind aber Firmen wie das erwähnte Fortune 50-Unternehmen. Sie sind gezwungen, mit ständigen Regeländerungen Schritt zu halten. Änderungen, auf die sie buchstäblich keinen Einfluss haben. Zweifelsohne sind auch kleinere, weniger komplexe Firmen betroffen. Sie können aber unter Umständen flexibler agieren und sich schneller an einen Wandel in der Branche anpassen. Demgegenüber fehlt es aber meist an spezialisiertem Personal und dem entsprechenden Fachwissen im Bereich Lifecycle Management.
Zehn- oder gar Hunderttausende von Zertifikaten in einem engen Zeitrahmen regelmäßig zu ersetzen ist eine Mammutaufgabe, der wohl die wenigsten Unternehmen wirklich gewachsen sind. Die Lebensdauer von Zertifikaten seitens der Browser weiter zu verkürzen, macht die Sache nicht einfacher.
Hinzu kommt, dass Fachleute mit fundierten Kenntnissen einer Public Key Infrastructure (PKI), der Technologie hinter den digitalen Zertifikaten, rar gesät sind. Und wer mit der Politik rund um das Thema Zertifikate vertraut ist, der prognostiziert, dass uns die Zukunft höchstwahrscheinlich noch kurzlebigere Zertifikate bescheren wird. Ergo verschärfen sich die Herausforderungen ein weiteres Mal. Browser-Anbieter vertreten die Ansicht, dass Zertifizierungsstellen ihre Kunden dementsprechend aufklären sollten. Agil zu sein, hat sich von einer Option längst zur gängigen Anforderung gewandelt. Die Rotation von Zwischenschlüsselmaterial (ICAs) für bestimmte Zertifikatstypen erfolgt für einige der von GlobalSign angebotenen Lösungen jetzt alle drei Monate. Da es sich um eine kritische Komponente der Vertrauenskette handelt, muss ein Unternehmen sich darauf einstellen, diese problemlos in die eigene Infrastruktur einzubringen. Das ist der einzig gangbare Weg, diesen ständigen Wandel zu bewältigen und Krypto-Agilität zu erlauben, ist die Automatisierung.
Automatisierung – daran führt kein Weg vorbei
Kein Unternehmen ist diesen Anforderungen auf die Dauer gewachsen, egal wie groß es ist. Deshalb bieten etliche Firmen Automatisierungslösungen an, die bei der Verwaltung des Zertifikatslebenszyklus helfen sollen. Solche Tools sind inzwischen absolut notwendig, ohne sie geht es nicht mehr. Eine Realität, der Unternehmen sich stellen müssen. Jedenfalls, wenn sie nicht zwangsläufig in eine Vielzahl von Problemen laufen wollen, wie sie sich aus dem Ablauf von Zertifikaten ergeben. Die potenziellen Folgen sind so weitreichend wie schwerwiegend: der Verlust von Vertrauen, Umsatz- und Ertragsrückgang durch vermehrte Warenkorbabbrüche bis hin zu einer nachhaltigen Beeinträchtigung der Marke und des Rufs.
So kam es beispielsweise im letzten Jahr zu Vorfällen bei Google Voice, Epic Games sowie Amex. Grund: ein Ablauf der Zertifikate bei Google Pay. Im Jahr 2018 – als die Lebenszyklen noch deutlich länger waren als heute – sind die Zertifikate von LinkedIn, Pokemon Go, der Konservativen Partei Großbritanniens und sogar des Weißen Hauses abgelaufen. Das Problem ist also ganz offensichtlich nicht neu, und wie man anhand der Beispiele erkennt, sind sehr unterschiedliche Unternehmen und Organisationen betroffen. Das Problem ist allgegenwärtig, und das wird sich nicht ändern, solange sich der bestehende Ansatz nicht ändert.
Für das neue Jahr sollten Unternehmen sicherstellen, dass die Automatisierung von Zertifikaten ganz oben auf ihrer Prioritätenliste steht. Ganz gleich, welcher Anbieter letzten Endes den Zuschlag bekommt, auf lange Sicht zahlt sich die Entscheidung aus – für die Firmen selbst und für ihre Kunden.
Autor: John Murray, Vice President Sales, Americas
www.globalsign.com/de-de
