Die Risiken abgelaufener SSL-Zertifikate für Unternehmen
Abgelaufene SSL-Zertifikate können Unternehmen Sicherheitsrisiken, Ausfallzeiten, Vertrauensverlust bei Kunden sowie finanziellen und rufschädigenden Schäden aussetzen. Um diese Probleme zu vermeiden, sind ordnungsgemäße Verfahren zur Erneuerung von Zertifikaten unerlässlich, insbesondere für große Unternehmen, die viele Zertifikate verwalten müssen.
SSL- (Secure Socket Layer) und TLS-Zertifikate (Transport Layer Security) bilden die Grundlage für die moderne Sicherheit und Authentifizierung von Websites. Diese Zertifikate werden von Organisationen aller Art und in allen Branchen eingesetzt.
SSL/TLS-Zertifikate dienen dazu, verschlüsselte Verbindungen zwischen Websites und Webbrowsern herzustellen, und gewährleisten die Datenintegrität, während sie die Identität einer Website authentifizieren und die Datenübertragung schützen.
Leider haben viele Organisationen Schwierigkeiten, ihre SSL-Zertifikate auf dem neuesten Stand zu halten, insbesondere diejenigen, die mit Hunderten oder sogar Tausenden von digitalen Zertifikaten arbeiten. Manuelle Verlängerungsprozesse sind zeitaufwendig und fehleranfällig, und da überlastete IT-Abteilungen eine wachsende Zahl von Sicherheitsaufgaben übernehmen, leiden häufig die Prozesse des Zertifikatslebenszyklusmanagements darunter.
Dies ist ein häufiges Problem bei kleineren Unternehmen – aber auch große Unternehmen sind anfällig. In den letzten Jahren haben Ausfälle von Zertifikaten für Schlagzeilen gesorgt und zu erheblichen Ausfallzeiten, Vertrauensverlust bei den Kunden und damit zu großen finanziellen Verlusten geführt. Wenn man den Reputationsschaden hinzufügt, wird schnell klar, warum es so wichtig ist, abgelaufene SSL-Zertifikate durch strenge Verfahren zur Zertifikatserneuerung zu vermeiden.
Unternehmen, die mit größeren Zertifikatsausfällen konfrontiert waren
Zertifikatsausfälle treten viel zu häufig auf, was auf die rasche Verbreitung von SSL/TLS-Zertifikaten in einem immer komplexeren und anfälligeren digitalen Raum zurückzuführen ist. Viele scheinbar gut geschützte und gut geführte Organisationen sind diesen Problemen zum Opfer gefallen, und da die Gültigkeitsdauer von SSL-Zertifikaten bald auf nur 90 Tage verkürzt wird, werden leider noch viel mehr für Ausfälle anfällig sein. Dies könnte zu erheblichen Reputationsschäden führen und Organisationen gleichzeitig anfällig für Cyberangriffe durch immer raffiniertere Hacker machen.
Das Auslaufen von Zertifikaten ist üblich, aber nicht unvermeidlich. Mit dem richtigen Ansatz für das Certificate Lifecycle Management (CLM) ist es möglich, das Risiko von Ausfällen drastisch zu reduzieren und gleichzeitig einen strukturierteren und zuverlässigeren Ansatz für die Erneuerung von Zertifikaten zu schaffen. Dennoch ist es wichtig, sich der wichtigsten Schwachstellen voll bewusst zu bleiben. Um das Ausmaß der Probleme im Zusammenhang mit dem Ablauf von SSL-Zertifikaten aufzuzeigen – und die Notwendigkeit zur Wachsamkeit – haben wir mehrere bekannte Organisationen hervorgehoben, die mit alarmierenden Ausfällen zu kämpfen hatten.
Ericsson (2018)
Mit einem Anteil von etwa 40 Prozent am weltweiten Mobilfunkverkehr ist Ericsson seit langem ein vertrauenswürdiger Name in der Telekommunikation. Obwohl Ericsson in der Regel eine zuverlässige Netzabdeckung bietet, kam es 2018 zu einem schwerwiegenden Vorfall, als ein abgelaufenes Zertifikat Millionen von europäischen Kunden und sogar vielen in Japan Probleme bereitete.
Der IT-Journalist Davey Winder sagte gegenüber Forbes: „Ich hätte erwartet, dass ein so großes Unternehmen wie Ericsson es besser weiß und über die entsprechenden ausfallsicheren Prozesse verfügt, um ein solches Ereignis zu verhindern.“ Er fügte jedoch hinzu, dass diejenigen, die im Bereich der Cybersicherheit tätig sind, mit dem Problem des abrupten Ablaufs von Zertifikaten nur allzu vertraut sind.
Ericsson-CEO Börje Ekholm behauptete später, dass die für diesen Ausfall verantwortliche Software außer Betrieb genommen worden sei. Dieses Fiasko hat deutlich gemacht, dass man „die in geschäftskritischen Systemen installierten Zertifikate fest im Griff haben“ muss, wie Sectigos Tim Callan betonte.
LinkedIn (2019)
LinkedIn ist ein vertrauenswürdiger Name im Bereich der modernen sozialen Medien, aber die Plattform hat im Laufe der Jahre einige bedeutende technische Versehen erlitten. Eines der besorgniserregendsten ereignete sich im Jahr 2019, als Microsoft (das LinkedIn zuvor übernommen hatte) ein SSL-Zertifikat auslaufen ließ. LinkedIn schien das betreffende Zertifikat zwar im Mai 2019 erneuert zu haben, aber dieses Update wurde vom Server nicht ordnungsgemäß übernommen.
Dies war keineswegs das erste Mal, dass LinkedIn aufgrund einer versehentlich nicht verlängerten Zertifizierung ausfiel. Dies geschah auch im Jahr 2017, als Millionen von Website-Nutzern sich nicht in ihre Konten einloggen konnten. Der Sicherheitsforscher Alan Woodward erklärte: „Es ist nicht das erste Mal, dass ein großer Name vergisst, Zertifikate zu erneuern, und es ist leicht, Subdomains zu vergessen, aber angesichts der Erinnerungen, die die Zertifizierungsstelle sendet, ist es wirklich überraschend, dass es immer noch passiert.“
Microsoft Teams (2020)
Microsoft Teams erleichtert die Zusammenarbeit in Echtzeit durch Instant Messaging, Videoanrufe, Dateispeicherung und viele andere Funktionen. Im Jahr 2020 wurde all dies jedoch für zuvor vertrauensvolle Benutzer in Frage gestellt, die plötzlich mit erheblichen Störungen konfrontiert waren, als Microsoft Teams für mehrere Stunden ausfiel.
Als Benutzer versuchten, sich anzumelden, erhielten sie Fehlermeldungen, die darauf hinwiesen, dass die App nicht in der Lage war, die erforderlichen HTTPS-Verbindungen herzustellen. In einer Ausfallbenachrichtigung von Microsoft wurde erklärt: „Ein Authentifizierungszertifikat ist abgelaufen, was zu Problemen bei der Nutzung des Dienstes führt.“ Dies war besonders besorgniserregend, da das Unternehmen System Center Operations Manager einsetzt, um das Auslaufen von Zertifikaten zu erkennen.
Google Voice (2021)
Im Februar 2021 hinderte ein abgelaufenes TLS-Zertifikat die Nutzer daran, den Telefondienst Google Voice vollumfänglich zu nutzen. Ganze vier Stunden lang konnten diese Nutzer keine Voice-over-Internet-Anrufe (VoIP) tätigen.
Später wurde in einer grundlegenden Ursachenanalyse erklärt: „Aufgrund eines Problems bei der Aktualisierung der Zertifikatkonfigurationen ist das aktive Zertifikat in den Frontend-Systemen von Google Voice versehentlich abgelaufen ... Während des Zeitraums der Auswirkungen konnten alle Clients, die versuchten, eine SIP-Verbindung herzustellen oder wiederherzustellen, dies nicht tun.“
Die Techniker von Google verbrachten zwei Stunden damit, den Ausfall zu untersuchen, obwohl aus der Problemzusammenfassung von Google nicht hervorging, was genau sie in dieser Zeit untersuchten. Schließlich wurden diese Fachleute durch eine Warnmeldung auf die Probleme aufmerksam gemacht, die den Ausfall verursachten, aber erst, nachdem eine inakzeptabel lange Ausfallzeit eingetreten war.
Spotify (2022)
Spotify hat sich mit der Plattform Megaphone, die professionellen Podcastern bei der Veröffentlichung ihrer Programme und der Vergrößerung ihres Publikums hilft, einen Namen im Podcast-Bereich gemacht. Diese Plattform erlitt jedoch im Jahr 2022 einen größeren Ausfall, der auf eine versäumte Erneuerung des Zertifikats zurückzuführen war.
In einer Erklärung erklärte Sprecherin Erin Styles: „Megaphone hatte einen Plattformausfall aufgrund eines Problems im Zusammenhang mit unserem SSL-Zertifikat. Während des Ausfalls konnten Kunden nicht auf das Megaphone CMS zugreifen und Podcast-Hörer konnten keine Podcast-Episoden von Megaphone-veröffentlichten Verlegern herunterladen.“
Dies verhinderte, dass Podcast-Hörer acht Stunden lang ihre Lieblingssendungen hören konnten – lange genug, damit bisherige Spotify- und Megaphone-Anhänger das Vertrauen in ihren bevorzugten Streaming-Anbieter verloren. Selbst nachdem der Zugang technisch wiederhergestellt war, konnten viele Benutzer das Content-Management-System von Megaphone nicht vollständig nutzen.
Cisco (2023)
Das Unternehmen veröffentlichte ein Bulletin, in dem es darauf hinwies, dass bei der Verwendung von vEdge SD-WAN-Geräten möglicherweise Serviceverluste auftreten könnten, wenn diese ihre Geräte aktualisierten. Es wurde auch erwartet, dass sich diese Probleme negativ auf Port-Hopping und Topologieänderungen auswirken würden.
Dieses Fiasko betraf über 20.000 Kunden. Ein Benutzer sagte gegenüber The Register: „Alle vEdge-basierten SD-WAN-Kunden sitzen auf einer Zeitbombe, beobachten mit schweißnassen Händen die Uhr und warten darauf, dass das WAN ihres Unternehmens implodiert, und/oder überlegen, wie sie ihr WAN neu strukturieren können, um die Konnektivität aufrechtzuerhalten.“
Leider war dies nicht das erste Mal, dass die Kunden von Cisco unter dem Ausfall von Zertifikaten litten. Im Jahr 2018 lief ein SSL-Zertifikat innerhalb des VPN-Kits von Cisco ab, was ebenfalls Zweifel an der Fähigkeit von Cisco aufkommen ließ, Endbenutzer zu schützen.
Die entscheidende Rolle des automatisierten Zertifikatslebenszyklus-Managements
Die oben genannten Beispiele sollen nicht beunruhigen, sondern vielmehr die Notwendigkeit der Wachsamkeit bei der Verwaltung und Erneuerung von SSL/TLS-Zertifikaten vermitteln. Digitale Zertifikate sind zwar nach wie vor von entscheidender Bedeutung, müssen jedoch durch einen zuverlässigen Prozess untermauert werden, um eine konsistente Abdeckung zu gewährleisten. Obwohl Zertifizierungsstellen (CAs) vor bevorstehenden Ablaufdaten Benachrichtigungen anbieten, kann es einer konzertierteren Anstrengung bedürfen, um abgelaufene Zertifikate zu verhindern, die zu Ausfällen führen.
Automatisiertes Zertifikatslebenszyklus-Management verspricht, diese Lücke zu schließen, indem es das Potenzial für unerwartete Abläufe (und damit verbundene Störungen) begrenzt, indem es sicherstellt, dass digitale Zertifikate vor ihrem voraussichtlichen Ablaufdatum erneuert werden. In der Zwischenzeit bietet ein zentralisierter Ansatz für die Zertifikatsverwaltung einen besseren Überblick über den Zertifikatsstatus und gewährleistet eine maximale Übersicht über zahlreiche Zertifikate.
Automatisierte Strategien fördern auch die kryptografische Agilität, die als eine Schlüsselqualität zur Vermeidung von Ausfällen in der Zukunft identifiziert wurde. Dieser Begriff bezieht sich auf die Fähigkeit von Organisationen, sich an sich weiterentwickelnde Algorithmen anzupassen und gleichzeitig weiterhin maximale Kontinuität für die Cybersicherheitsinfrastruktur zu fördern. Krypto-agile Systeme sind besser in der Lage, Zertifikate umgehend zu erneuern und Ausfälle zu vermeiden.
Werden Sie nicht das nächste Opfer eines SSL-Zertifikatsausfalls
Angesichts der hohen Risiken und Sicherheitsrisiken, die mit abgelaufenen SSL-Zertifikaten einhergehen, gibt es wirklich keinen Ersatz für ein automatisiertes Zertifikatslebenszyklus-Management. Nutzen Sie die Möglichkeiten der automatisierten Ausstellung und Verwaltung mit Sectigo Certificate Manager (SCM) – einer zweckorientierten Plattform, die entwickelt wurde, um mehr Vertrauen und Zuverlässigkeit in den gesamten Lebenszyklus digitaler Zertifikate zu bringen. Erfahren Sie noch heute mehr, vereinbaren Sie eine Demo oder machen Sie den nächsten Schritt mit einer kostenlosen Testversion.