Kostenloser Test
Kontakt
Sectigo Blog

Google verlangt 47-Tage-TLS-Zertifikate: Warum Automatisierung der Schlüssel ist

RSS-Feed

Am 3. März kündigte Google in seiner Roadmap „Moving Forward, Together“ die Absicht an, die maximal mögliche Gültigkeit für öffentliche TLS-Zertifikate in einem zukünftigen Richtlinien-Update oder einem CA/B-Forum-Abstimmungsvorschlag von 398 Tagen auf 47 Tage zu reduzieren. Diese Reduzierung auf nur 90 Tage maximale Gültigkeit wird für die Branche große Veränderungen mit sich bringen.

Tim Callan
Von Tim Callan, Leiter der Abteilung Compliance
13. März 20236 Min. Lesezeit

Inhaltsverzeichnis

Der Trend zu immer kürzeren Laufzeiten von Zertifikaten ist einer, den Sectigo bereits 2019 vorhergesagt hat. In den letzten Jahren ist die maximale Laufzeit für ein öffentliches TLS-Zertifikat (auch SSL genannt) von drei Jahren auf zwei bis ein Jahr gesunken, und nun hat Google angekündigt, diese Laufzeit weiter auf 47 Tage zu reduzieren.

In diesem Artikel geht das Sectigo-Team auf folgende Themen ein: Was bedeutet diese Ankündigung und wie wird sie sich auf die Verwaltung von Zertifikaten auswirken? Welche Bedeutung hat die automatisierte Verwaltung von Zertifikaten und wie kann sie umgesetzt werden?

Googles Ankündigung von 47-Tage-Zertifikaten und was sie bedeutet

Die Aussage von Google, dass dies durch „eine zukünftige Aktualisierung der Richtlinien oder einen Vorschlag zur Abstimmung im CA/B-Forum“ durchgesetzt werden soll, ist ein subtiles, aber wichtiges Detail, das es zu beachten gilt. Google scheint zu sagen, dass es großartig wäre, wenn das CA/B-Forum diese Branchenänderung durch einen Abstimmungsprozess vornehmen würde. Google ist jedoch bereit, diese Änderung einseitig zu erzwingen, indem es sie zur Voraussetzung für das Chrome-Root-Programm macht, wodurch sie de facto zu einem Standard würde, den jede kommerzielle öffentliche CA befolgen müsste. Da Browser ihre eigenen Root-Programmanforderungen steuern, kann diese Änderung auch ohne ein Mandat des CA/B-Forums erfolgen.

Google gibt seine Absichten bewusst bekannt, um der Branche und den Verbrauchern von Zertifikaten Zeit zu geben, sich auf den unvermeidlichen Übergang und die damit verbundenen Auswirkungen vorzubereiten.

Für CISOs und ihre Teams ist die offensichtlichste Auswirkung, wie sie die Verwaltung digitaler Zertifikate mit kürzerer Lebensdauer angehen werden. Die manuelle Verwaltung von Zertifikaten wird zu einer nicht nachhaltigen Praxis, und es wird unerlässlich sein, über den Umstieg auf Automatisierung nachzudenken.

Die Risiken manueller Zertifikatserneuerungen

Zwar können Unternehmen digitale Zertifikate mit einer maximalen Lebensdauer von 47 Tagen technisch gesehen weiterhin manuell verwalten, doch wird die manuelle Erneuerung und Bereitstellung schnell immer riskanter. Zu den Risiken der manuellen Verwaltung gehören:

  • Fehleranfällig: Mehr Erneuerungen bedeuten mehr Potenzial für menschliche Fehler, da diese Aufgabe viermal pro Jahr statt einmal erledigt werden muss.
  • Erfordert erhebliche Ressourcen: 47-Tage-Zertifikate bedeuten nicht nur ein viermal so hohes Risiko für menschliche Fehler, sondern auch eine Vervierfachung der Arbeit, die IT-Sicherheitsteams derzeit für diese ohnehin schon mühsame Aufgabe aufwenden.
  • Nicht skalierbar: Wenn Organisationen wachsen und mehr digitale Zertifikate zu verwalten haben, wird die manuelle Ausstellung und Erneuerung von Zertifikaten immer weniger tragfähig.
  • Mögliche Ausfälle und Datenschutzverletzungen: Die falsche Verwendung von digitalen Zertifikatserneuerungen kann zu SSL/TLS-Ausfällen und Datenschutzverletzungen führen.
  • Allgemeine Cybersicherheitsrisiken: Böswillige Akteure entwickeln immer ausgefeiltere Techniken, um Schwachstellen in der Cybersicherheit eines Unternehmens auszunutzen, was schwerwiegende Folgen haben kann. Eine große Schwachstelle, die sie schnell ausnutzen werden, ist die fehlende Verschlüsselung, die ein SSL-Zertifikat bietet. Diese Risiken werden durch die Tatsache verschärft, dass die Anzahl der digitalen Zertifikate, die Unternehmen verwalten müssen, weiterhin rapide zunimmt. Hier geht es nicht um ein Zertifikat, das viermal im Jahr bearbeitet werden muss, sondern um Dutzende, Hunderte oder Tausende digitaler Zertifikate. .

Hinzu kommen bestehende Schwierigkeiten wie betrügerische Zertifikate, die Sichtbarkeit kryptografischer Entscheidungen und die individuelle Bereitstellung, sodass eine manuelle Verwaltung nicht mehr praktikabel ist. Dies ist keine Aufgabe, die sich heute einfach manuell erledigen lässt, und in Zukunft werden Organisationen, die immer noch einen manuellen Ansatz verfolgen, mit ziemlicher Sicherheit den Preis dafür zahlen.

Der Weg in die Zukunft ist klar: Es ist Zeit für die Automatisierung.

Die Bedeutung des automatisierten Managements des Lebenszyklus von Zertifikaten

Böswillige Akteure sind oft einen Schritt voraus und werden bereit sein, Organisationen auszunutzen, die es versäumen, ihren Ansatz für das Identitätsmanagement von Menschen und Maschinen im Zuge der Verkürzung der Lebensdauer digitaler Zertifikate zu überdenken. Jetzt ist es an der Zeit zu handeln. Letztendlich müssen Organisationen über eine End-to-End-Lösung verfügen, um die Lebenszyklen digitaler Zertifikate in großem Maßstab zu automatisieren.

Um Risiken zu reduzieren, ist Automatisierung von entscheidender Bedeutung. Nicht nur die Lebensdauer von Zertifikaten wird kürzer, sondern auch die Wiederverwendungsdauer von Domain-Validierungen. Heute erlauben die Baseline Requirements die Wiederverwendung von Daten oder Dokumenten im Zusammenhang mit zuvor abgeschlossenen Domain-Validierungen für bis zu 398 Tage. Google hat außerdem seine Absicht bekundet, die Wiederverwendungszeiträume für die Domain-Validierung auf 47 Tage zu verkürzen. „Eine zeitnahe Domain-Validierung schützt Domain-Inhaber besser und verringert gleichzeitig das Risiko, dass sich eine Zertifizierungsstelle versehentlich auf veraltete, überholte oder anderweitig ungültige Informationen verlässt, was zu einer fehlerhaften Ausstellung von Zertifikaten und potenziellem Missbrauch führen kann“, so das Unternehmen. Dies ist ein wichtiges Detail, das beachtet werden muss, da Unternehmen nicht nur die digitalen Zertifikate in ihren Systemen verwalten, sondern auch ihre Domains alle 47 Tage neu verifizieren müssen.

Wie man die Ausstellung und Erneuerung von Zertifikaten automatisiert

Mit den richtigen Tools und der richtigen Plattform ist die Automatisierung der Zertifikatsverwaltung ein nahtloser Prozess. Zunächst ist es wichtig, eine CA-unabhängige CLM-Plattform (Certificate Lifecycle Management) zu finden. Diese Art von Zertifikatsverwaltungslösung hilft bei der Erkennung digitaler Zertifikate in großen Unternehmensumgebungen, unabhängig von der ausstellenden Zertifizierungsstelle, benachrichtigt Sie über das bevorstehende Auslaufen von Zertifikaten und sorgt für die automatische Bereitstellung und Installation von Verlängerungs- und Ersatzzertifikaten. Auf diese Weise werden Ausfälle und Sicherheitsverletzungen aufgrund der falschen Verwendung oder Verlängerung digitaler Zertifikate vermieden, während Ihr Team die Lebenszyklen an einem zentralen Ort verfolgen kann.

Anpassung an kürzere Zertifikatslaufzeiten

Bei der Umstellung auf Automatisierung ist es wichtig, einen CLM von einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Hier kommt Sectigo ins Spiel. Der Sectigo Certificate Manager (SCM) ist der robusteste CA-unabhängige CLM auf dem Markt. SCM ist darauf ausgelegt, die Lebenszyklen aller digitalen Zertifikate zu automatisieren, unabhängig von ihrer Herkunft. SCM bietet:

  • Unterstützung für das ACME-Protokoll (Automated Certificate Management Environment)
  • Unterstützung des Secure Certificate Enrollment Protocol (SCEP)
  • Unterstützung von Enrollment Over Secure Transport (EST)
  • Ein proprietäres Automatisierungstool, das die Verwaltung von Zertifikaten für eine Vielzahl von Systemen ermöglicht, darunter Apache Tomcat, Windows IIS-Webserver und F5 Big-IP-Lastenausgleichsmodule
  • REST-API: In einigen Fällen bevorzugen Unternehmen eine engere Integration von Anwendungen in Sectigo, was mithilfe der REST-API von Sectigo möglich ist.

SCM lässt sich auch in eine Vielzahl von Technologieanbietern integrieren. IT-Teams können die Ausstellung und Verwaltung von digitalen Sectigo-Zertifikaten automatisieren, zusammen mit denen von anderen öffentlichen und privaten Zertifizierungsstellen wie Microsoft Active Directory Certificate Services (ADCS), AWS Cloud Services und Google Cloud Platform (GCP).

Dies gilt zusätzlich zur Integration mit beliebten DevOps-Plattformen wie Kubernetes, Docker, HashiCorp und mehr als einem Dutzend führender Technologien, darunter führende Load-Balancer-Plattformen wie Amazon, Google, F5, A10 Networks und Kemp, beliebte CDNs wie Akamai und Amazon und sogar Benachrichtigungsanwendungen wie Microsoft Teams und Slack.

Erfahren Sie, warum Sectigo Certificate Manager das erste und umfassendste CA-unabhängige CLM auf dem Markt ist.

Laden Sie unser Webinar zur 47-tägigen Gültigkeit von Zertifikaten herunter, um mehr zu erfahren.

Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!

Verwandte Beiträge:

Erkunden Sie die Kosteneinsparungen und Geschäftsvorteile von Sectigo Certificate Manager

Der sich entwickelnde Lebenszyklus von SSL/TLS-Zertifikaten und wie man mit den Änderungen umgeht

Die Rolle der Zertifikatslebenszyklus-Automatisierung in Unternehmensumgebungen