Mitverfasst von Jeremy Rowley
Dem durchschnittlichen Internetnutzer ist nicht bewusst, wie viel Mühe im Hintergrund aufgewendet wird, um die digitale Welt sicher zu machen. Websites, E-Mails, Server und Software werden erst durch digitale Zertifikate, ausgestellt von Zertifizierungsstellen (CA), vertrauenswürdig. Diese Zertifizierungsstellen werden von Normungsausschüssen wie dem Certificate Authority/Browser (CA/B) Forum als vertrauenswürdig eingestuft.
Doch manchmal erfüllen die ausgestellten Zertifikate aufgrund von menschlichen Fehlern oder fehlerhaftem Code nicht die strengen Compliance-Anforderungen der Root-Store-Betreiber. Dann wird von der CA erwartet, dass sie den Fall aufklärt, die Zertifikate widerruft und der Community hilft, aus dem Fehler zu lernen.
Doch wie wir durch Googles Misstrauen gegenüber Entrust gesehen haben, kann es sowohl für Zertifizierungsstellen als auch deren Kunden verheerende Folgen haben, wenn nicht rechtzeitig Schadensbegrenzung betrieben wird.
Im Juni 2024 gab das Chrome Security Team von Google bekannt, dass es nach dem 31. Oktober 2024 ausgestellte TLS-Zertifikate von Entrust als nicht mehr vertrauenswürdig einstuft. Einige Monate zuvor hatte Entrust Fehler bei der Ausstellung von mehr als 26.000 EV-TLS-Zertifikaten eingeräumt.
Die Widerrufsfrist für fehlerhaft ausgestellte Zertifikate, die in den „Baseline Requirements“, also den Grundanforderungen des CA/B Forum, aufgeführt ist, ist sehr kurz: entweder 24 Stunden oder fünf Tage, je nach Art des Problems. Die Zertifizierungsstelle kann das Problem in der Regel mit minimaler Beeinträchtigung von Unternehmen beheben, aber Entrust unternahm nichts, um die betroffenen Zertifikate zu widerrufen oder zu ersetzen.
Das kann bei Unternehmen zu Ausfällen führen und sorgt für Unsicherheit über den Status der Zertifizierungsstelle. Nicht zuletzt geht auch das Vertrauen der Kunden verloren. Werden fehlerhaft ausgestellte Zertifikate nicht widerrufen oder ersetzt, bedeutet das für die Zertifizierungsstellen, dass Webbrowser ihnen das Vertrauen entziehen, so wie Google es 2024 bei Entrust getan hat.
Fehler in Software sind nichts Ungewöhnliches, deshalb kann es selbst bei ausgereiften Softwareentwicklungszyklen zu fehlerhaft ausgestellten Zertifikaten kommen. Oberstes Ziel der Zertifizierungsstelle sollte in diesem Fall sein, den Fehler zu finden und dafür zu sorgen, dass er nicht wieder vorkommt.
2023 fand DigiCert heraus, dass 300 Zertifikate, die einem globalen Gerätehersteller ausgestellt worden waren, nicht den strikten Profilanforderungen der CA/B Forum Baseline Requirements entsprachen. Laut diesen Grundanforderungen blieben uns fünf Tage, um die Zertifikate zu widerrufen. Ansonsten hätten wir gegen die Standards verstoßen, die alle Zertifizierungsstellen in ihrer Rolle als öffentlich vertrauenswürdige Organisation anerkennen.
Es gab nur ein Problem: Nachdem wir das Problem mit dem Kunden besprochen hatten, wurde klar, dass der Widerruf der Zertifikate binnen fünf Tagen einen massiven Ausfall kritischer Systeme nach sich ziehen würde – mit möglichen Folgen für die Verbrauchersicherheit. In enger Zusammenarbeit mit dem Hersteller stellten wir fest, dass das Unternehmen einen Zeitrahmen von einem Monat bräuchte, um die fehlerhaft ausgestellten Zertifikate zu ersetzen.
Für uns kam es nicht infrage, gegen die CA/B-Regeln zu verstoßen. Jedoch konnten wir die Zertifikate auch nicht ohne angemessenen Ersatz einfach widerrufen. Also fragten wir in der Community um Rat und arbeiteten gemeinsam mit unserem Kunden daran, die neuen Zertifikate rechtzeitig bereitzustellen.
Das war eine stressige Erfahrung für alle Beteiligten. Damit dieses Problem in Zukunft nicht wieder auftritt, gingen wir der Ursache des Fehlers auf den Grund, sodass der Kunde entsprechende Gegenmaßnahmen für die Zukunft ergreifen konnte.
Diese Maßnahmen empfehlen wir allen Unternehmen, die Zertifikate für ihre Sicherheit verwenden:
Das CA/B Forum gibt lediglich Standards für öffentliche Vertrauenszertifikate aus. Für privat ausgestellte Zertifikate gilt die fünftägige Widerrufsfrist nicht. Unser Gerätehersteller hatte unnötige Probleme, weil er öffentliche Vertrauenszertifikate auf Objekte anwandte, die dessen gar nicht bedurften, in diesem Fall auf vernetzte Geräte.
Unsere Empfehlung? Überprüfen Sie die von Ihnen verwendeten Zertifikate und wechseln Sie zu von öffentlichen zu privaten Zertifikaten, wenn das für Ihre Zwecke genügt. So vermeiden Sie das Risiko von Geschäftsunterbrechungen aufgrund von Widerrufen.
Dies sind einige der häufigsten Anwendungsbereiche für private Vertrauenszertifikate:
Wir empfehlen außerdem, Ihre Zertifikate durch automatisiertes Linting mit der kostenlosen Open-Source-Software PKIlint von DigiCert auf Fehler oder Compliance-Verletzungen zu prüfen.
Viele Unternehmen verwalten ihre Zertifikate noch immer mit Tabellen. Mit einer Lösung für die Verwaltung des Zertifikatslebenszyklus (CLM) ist die Fünf-Tages-Frist des CA/B Forum kein Problem. Doch ohne eine solche Lösung kann der Austausch fehlerhafter Zertifikate enormen manuellen Aufwand bedeuten, der mitunter Wochen in Anspruch nimmt.
Wenn Ihr Unternehmen noch keine umfassende CLM-Lösung nutzt, empfehlen wir Ihnen DigiCert Trust Lifecycle Manager mit folgenden Funktionen:
Das digitale Vertrauen, von dem wir bei DigiCert so oft sprechen, ist kein abstraktes Konzept, sondern objektiv und messbar. Die Webseiten und digitalen Produkte von Unternehmen sind entweder durch vertrauenswürdige Zertifikate gesichert – oder eben nicht. Zertifizierungsstellen halten sich an die Vorgaben von Organisationen wie dem CA/B Forum – oder eben nicht.
Wenn sich eine Zertifizierungsstelle einer auf Vertrauen basierenden Community anschließt, wird ihre Vertrauenswürdigkeit anhand ihrer Transparenz und ihrer Bereitschaft, sich an Regeln zu halten, gemessen. Für sich allein genommen führt ein Fehler bei der Zertifikatsausstellung nicht automatisch zu Misstrauen. Schwerer wiegen die Ursache des Fehlers, was die Zertifizierungsstelle aus der Situation lernt und wie sie mit dem Vorfall umgeht.
Sie möchten mehr über Themen wie Verwaltung des Zertifikatslebenszyklus, digitales Vertrauen oder die Digital-Trust-Lösungen von DigiCert erfahren? Dann abonnieren Sie den DigiCert-Blog, um keinen Beitrag zu verpassen.