Automatisierte PKI-/CLM-Lösungen gefragt


PKI – Drei Best Practices für einen erfolgreichen Zertifikats-Widerruf
In Schwachstellen-Szenarien, in denen eine Vielzahl von Zertifikaten betroffen ist, kommen PKI-Teams nicht um Massenwiderrufe und Massenneuausstellungen herum


Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. Verfügt doch nicht jedes PKI-Team über (ausreichend) geschulte PKI-Fachkräfte.

Wenn ein Zertifikat kompromittiert, missbraucht oder falsch konfiguriert worden ist, wenn sich Wesentliches am Status des Zertifikatsinhabers geändert hat, müssen PKI-Teams die betroffenen Zertifikate aktiv widerrufen. Hierzu stehen ihnen drei Optionen zur Auswahl:

>> die Certificate Revocation List (CRL): Zertifikatssperrlisten erleichtern PKI-Teams die Verwaltung von Zertifikatswiderrufen. Wenn ein Zertifikat widerrufen werden soll, muss seine Seriennummer in eine CRL eingetragen werden. Hierbei handelt es sich um eine Datei, die von einer Zertifizierungsstelle gepflegt, aktualisiert und regelmäßig veröffentlicht wird. Neben einer Aufzeichnung aller widerrufenen Zertifikate wird in CRLs auch das Datum des Widerrufs abgespeichert.

>> das Online Certificate Status Protocol (OCSP): Auch das Zertifikatsstatusprotokoll kann für Widerrufe genutzt werden. Im Gegensatz zu CRLs, deren Nutzung ein Herunterladen und eine Prüfung der Listen erforderlich macht, ermöglicht das OCSP ressourcenschonende Statusprüfungen in Echtzeit. Große CRL-Dateien müssen nicht verarbeitet werden. Hohe Latenzzeiten und Overhead, die mit herkömmlichen CRL-Downloads einhergehen, werden so wesentlich reduziert, was besonders dann nützlich ist, wenn Umgebungen zeitnahe Statusprüfungen von Zertifikaten erfordern.

>> das Certificate Lifecycle Management (CLM)-Tool: In Schwachstellen-Szenarien, in denen eine Vielzahl von Zertifikaten betroffen ist, kommen PKI-Teams nicht um Massenwiderrufe und Massenneuausstellungen herum. Manuell lassen sich diese aber nur bewerkstelligen, wenn ausreichend Arbeitskräfte und -zeit zur Verfügung stehen. Das dürfte aber nur in den wenigsten Unternehmen der Fall sein. Effizienter – und auch effektiver – ist deshalb der Einsatz eines speziellen Tools zur Verwaltung des Lebenszyklus von Zertifikaten. Innerhalb kürzester Zeit können mit seiner Hilfe sämtliche betroffenen Zertifikate erkannt und widerrufen, können neue Zertifikate ausgestellt werden – selbst wenn hierfür nur sehr wenige personelle Ressourcen zur Verfügung stehen.

Bei all dem ist zudem darauf zu achten, dass sämtliche Zertifikatsänderungen sauber dokumentiert werden müssen. PKI-Teams werden rasch feststellen, dass sie dabei mit einer rein manuellen Nachverfolgungsmethode – auch heute noch stellt die manuelle Dokumentation mittels Einträgen in Excel-Tabellen in vielen Unternehmen den Standard dar – zu viel Zeit verbrauchen, zu fehleranfällig sind. Schon bei regulären Erneuerungsverfahren von Zertifikaten geht hier häufig etwas schief. Im Fall von schwachstellenbedingten Widerrufen gilt dies umso mehr. Müssen Änderungen hier doch möglichst rasch vorgenommen werden, um Sicherheitsrisiken bei der Datenübertragung so schnell wie möglich zu reduzieren.

IT-Entscheidern und PKI-Teams kann deshalb nur geraten werden, sich nach automatisierten PKI-/CLM-Lösungen umzusehen. Ohne sie werden sich zertifikatsbedingte Ausfälle und Unterbrechungen von IT und OT, von IoT und IIoT bereits in naher Zukunft nicht mehr effektiv – und effizient – verhindern lassen. (Keyfactor: ra)

eingetragen: 10.12.24
Newsletterlauf: 11.02.25

Keyfactor: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Tipps und Background-Wissen

  • NIS2: Wer nicht handelt, verspielt wertvolle Zeit

    Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass. Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • KI-Romance Scams brechen nicht nur Herzen

    Die Researcher von Tenable warnen, dass Romance Scams nach wie vor eine ernstzunehmende Bedrohung darstellen. Die Schadenssummen können mitunter enorm sein: In Niedersachsen etwa gebe es Opfer, die mehrere 10.000 Euro durch Romance Scams verloren hätten, so das dortige LKA. Die Scammer nutzen Dating-Apps und Messenger, um Kontakt zu ihren Opfern aufzunehmen, die auf Partnersuche sind.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen