Automatisierte PKI-/CLM-Lösungen gefragt


PKI – Drei Best Practices für einen erfolgreichen Zertifikats-Widerruf
In Schwachstellen-Szenarien, in denen eine Vielzahl von Zertifikaten betroffen ist, kommen PKI-Teams nicht um Massenwiderrufe und Massenneuausstellungen herum


Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. Verfügt doch nicht jedes PKI-Team über (ausreichend) geschulte PKI-Fachkräfte.

Wenn ein Zertifikat kompromittiert, missbraucht oder falsch konfiguriert worden ist, wenn sich Wesentliches am Status des Zertifikatsinhabers geändert hat, müssen PKI-Teams die betroffenen Zertifikate aktiv widerrufen. Hierzu stehen ihnen drei Optionen zur Auswahl:

>> die Certificate Revocation List (CRL): Zertifikatssperrlisten erleichtern PKI-Teams die Verwaltung von Zertifikatswiderrufen. Wenn ein Zertifikat widerrufen werden soll, muss seine Seriennummer in eine CRL eingetragen werden. Hierbei handelt es sich um eine Datei, die von einer Zertifizierungsstelle gepflegt, aktualisiert und regelmäßig veröffentlicht wird. Neben einer Aufzeichnung aller widerrufenen Zertifikate wird in CRLs auch das Datum des Widerrufs abgespeichert.

>> das Online Certificate Status Protocol (OCSP): Auch das Zertifikatsstatusprotokoll kann für Widerrufe genutzt werden. Im Gegensatz zu CRLs, deren Nutzung ein Herunterladen und eine Prüfung der Listen erforderlich macht, ermöglicht das OCSP ressourcenschonende Statusprüfungen in Echtzeit. Große CRL-Dateien müssen nicht verarbeitet werden. Hohe Latenzzeiten und Overhead, die mit herkömmlichen CRL-Downloads einhergehen, werden so wesentlich reduziert, was besonders dann nützlich ist, wenn Umgebungen zeitnahe Statusprüfungen von Zertifikaten erfordern.

>> das Certificate Lifecycle Management (CLM)-Tool: In Schwachstellen-Szenarien, in denen eine Vielzahl von Zertifikaten betroffen ist, kommen PKI-Teams nicht um Massenwiderrufe und Massenneuausstellungen herum. Manuell lassen sich diese aber nur bewerkstelligen, wenn ausreichend Arbeitskräfte und -zeit zur Verfügung stehen. Das dürfte aber nur in den wenigsten Unternehmen der Fall sein. Effizienter – und auch effektiver – ist deshalb der Einsatz eines speziellen Tools zur Verwaltung des Lebenszyklus von Zertifikaten. Innerhalb kürzester Zeit können mit seiner Hilfe sämtliche betroffenen Zertifikate erkannt und widerrufen, können neue Zertifikate ausgestellt werden – selbst wenn hierfür nur sehr wenige personelle Ressourcen zur Verfügung stehen.

Bei all dem ist zudem darauf zu achten, dass sämtliche Zertifikatsänderungen sauber dokumentiert werden müssen. PKI-Teams werden rasch feststellen, dass sie dabei mit einer rein manuellen Nachverfolgungsmethode – auch heute noch stellt die manuelle Dokumentation mittels Einträgen in Excel-Tabellen in vielen Unternehmen den Standard dar – zu viel Zeit verbrauchen, zu fehleranfällig sind. Schon bei regulären Erneuerungsverfahren von Zertifikaten geht hier häufig etwas schief. Im Fall von schwachstellenbedingten Widerrufen gilt dies umso mehr. Müssen Änderungen hier doch möglichst rasch vorgenommen werden, um Sicherheitsrisiken bei der Datenübertragung so schnell wie möglich zu reduzieren.

IT-Entscheidern und PKI-Teams kann deshalb nur geraten werden, sich nach automatisierten PKI-/CLM-Lösungen umzusehen. Ohne sie werden sich zertifikatsbedingte Ausfälle und Unterbrechungen von IT und OT, von IoT und IIoT bereits in naher Zukunft nicht mehr effektiv – und effizient – verhindern lassen. (Keyfactor: ra)

eingetragen: 10.12.24
Newsletterlauf: 11.02.25

Keyfactor: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Tipps und Background-Wissen

  • Ultimative Checkliste für resiliente Netzwerke

    Downtimes und langsame Verbindungen sind für viele Unternehmen die Endgegner. Eine hohe Netzwerkresilienz ist das beste Hilfsmittel im Kampf gegen sie. Opengear hat daher eine Checkliste erstellt, die sich Administratoren über den Laptop hängen sollten.

  • Nordkoreanische Hackern zielen auf HR-Prozesse

    Im Sommer des Jahres 2024 gelang es einem nordkoreanischen Hacker, unerkannt ein Bewerbungsverfahren bei KnowBe4 zu durchlaufen. Dank KnowBe4s gut durchdachter Sicherheitsarchitektur war der Erfolg seines Angriffs jedoch nur von kurzer Dauer.

  • ERP-Sicherheit durch erhöhte Security Awareness

    Obwohl SAP-Anwendungslandschaften und ERP-Systeme das Herzstück vieler IT-Umgebungen bilden, sind sie oft ein blinder Fleck der IT-Sicherheit. Gleichzeitig sind die Ransomware-Vorfälle bei SAP-Systemen seit 2021 um 400 Prozent angestiegen. Da ist es umso wichtiger, Mitarbeitende besonders für mögliche Risiken und Gefahren zu sensibilisieren.

Angreifer-Fokus auf das Gesundheitswesen Firmengeheimnisse in Gefahr

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen