Entrust misstrauen: Wie man zu einer neuen Zertifizierungsstelle wechselt
Entrust, eine ehemals vertrauenswürdige Zertifizierungsstelle (CA), hat einen erheblichen Rückschlag erlitten, da Google und Mozilla angekündigt haben, dass sie den SSL/TLS-Zertifikaten von Entrust aufgrund von Sicherheitsbedenken nicht mehr vertrauen werden. Dieser Schritt führt dazu, dass aktuelle Entrust-Kunden nach alternativen Zertifizierungsstellen suchen müssen, um sichere digitale Verbindungen zu gewährleisten, potenzielle Cybersicherheitsrisiken zu vermeiden und den Schutz weiterhin zu gewährleisten. In diesem Blog werden die Schritte für die Migration von Zertifikaten erläutert und die Bedeutung einer aktiven Verwaltung und Automatisierung für die Aufrechterhaltung der digitalen Sicherheit hervorgehoben.
Artikel am 11. September 2024 aufgrund der neuesten Ankündigung von Google aktualisiert.
Entrust war einst ein Name auf dem Markt für SSL- (Secure Sockets Layer) / TLS- (Transport Layer Security) Zertifikate, dem viele Organisationen vertrauten. Als Zertifizierungsstelle (CA), die sich der Sicherung von Verbindungen verschrieben hat, arbeitet dieses Unternehmen daran, sichere digitale Erlebnisse zu schaffen und gleichzeitig anfällige Netzwerke und Geräte zu schützen. Leider hat Entrust dieses Versprechen nicht eingehalten – und da Google den digitalen Zertifikaten von Entrust nicht mehr „standardmäßig vertraut“ und Mozilla diesem Beispiel folgt und diesen Zertifikaten misstraut, sind die derzeitigen SSL-Kunden von Entrust auf der Suche nach Lösungen.
Dies ist eine Zeit, die denjenigen die Augen öffnet, die sich einst auf Entrust verlassen haben, wenn es um robuste Verschlüsselung und Authentifizierung ging. Da zwei der größten Akteure der digitalen Welt offensichtlich Zweifel an der Fähigkeit von Entrust äußern, Benutzer zu schützen, ist den derzeitigen Kunden klar geworden, dass andere Wege beschritten werden müssen. Der Wechsel zu einer anderen Zertifizierungsstelle mag wie ein komplizierter Prozess erscheinen, aber da die Cybersicherheit Ihrer Organisation auf dem Spiel steht, ist er notwendig.
Die Wahl einer vertrauenswürdigen Zertifizierungsstelle, die für Ihre Organisation die richtige Partnerin ist, wird den Übergang erleichtern und den Prozess komplikationslos gestalten. Unser Team bei Sectigo begleitet Sie gerne bei diesem Prozess und sorgt für mehr Sicherheit, während Sie Ihre neue Normalität finden. Lesen Sie weiter, um zu erfahren, was mit Entrust los ist, welche Auswirkungen die Cybersicherheit für Entrust-Kunden haben könnte – und was nötig ist, um für Ihre SSL-Zertifikatdienste zu einer neuen Zertifizierungsstelle zu migrieren.
Verstehen, was passiert ist
In einer kürzlich veröffentlichten Ankündigung von Google teilte der Internetgigant seine Absicht mit, wie Forbes erklärt, „von Entrust ausgestellte Transport Layer Security-Zertifikate zu widerrufen ... mit der Begründung, dass die Sicherheit und der Datenschutz der Chrome-Nutzer Vorrang haben.“ Forbes fügt hinzu, dass dies eine große Sache ist, da die Zertifizierungsstelle dafür verantwortlich ist, „als Grundlage für die verschlüsselten Verbindungen zu dienen, auf die sich die Nutzer zwischen ihrem Webbrowser und dem Internet verlassen“.
Laut dem Google Chrome Browser-Sicherheitsteam haben „öffentlich bekannt gewordene Vorfallberichte ein Muster besorgniserregender Verhaltensweisen von Entrust aufgezeigt, die hinter den Erwartungen zurückbleiben“, und fügten hinzu, dass dies „das Vertrauen in die Kompetenz, Zuverlässigkeit und Integrität von Entrust als öffentlich vertrauenswürdigem Unternehmen untergraben hat“.
Infolgedessen werden Benutzer, die Websites mit digitalen Zertifikaten von Entrust aufrufen, schließlich auf Meldungen stoßen, die darauf hinweisen, dass ihre Verbindungen nicht sicher oder privat sind. Derzeit sollten SSL/TLS-Zertifikate, die am oder vor dem 12. November signiert wurden, gültig bleiben – aber am 12. November ändert sich alles, wenn SSL/TLS-Zertifikaten von Entrust nicht mehr vertraut wird.
Als Reaktion auf dieses Fiasko gab Todd Wilkinson, CEO von Entrust, eine Erklärung ab, in der er erklärte: „Unsere jüngsten Vorfälle mit fehlerhaften Zertifikaten sind auf eine Fehlinterpretation der Compliance-Anforderungen des CA/Browser-Forums zurückzuführen. Bei dem Versuch, dieses Problem zu lösen, führten unsere Änderungen zu weiteren, nicht sicherheitsrelevanten Fehlausstellungen.“
Wilkinson behauptet zwar, dass Entrust wichtige Prozesse und Richtlinien geändert hat, um diese Probleme zu beheben, doch ein zentrales Problem bleibt bestehen: Zuvor zufriedene Entrust-Kunden sind möglicherweise nicht mehr davon überzeugt, dass ihre SSL-Zertifikate einen ausreichenden Schutz bieten.
Wie man zu einer neuen Zertifizierungsstelle wechselt
Da Websites, die Entrust-Zertifikate verwenden, die nach dem 11. November 2024 ausgestellt wurden, in Chrome als unsicher gekennzeichnet werden, ist es jetzt an der Zeit, etwas zu ändern. Ja, die aktuellen Zertifikate können technisch gesehen gültig bleiben, aber es lohnt sich zu fragen: Bieten sie derzeit ausreichenden Schutz? Um Deckungslücken zu vermeiden, befolgen Sie diese Schritte, um mit minimaler Unterbrechung zur neuen Zertifizierungsstelle zu wechseln:
Schritt 1: Bewertung der aktuellen Situation
Das Wichtigste zuerst: Sie müssen alle digitalen Zertifikate, die Sie derzeit verwenden, identifizieren und verstehen – insbesondere die von Entrust ausgestellten. Die Ermittlung von Zertifikaten ist ein äußerst wichtiger Schritt im gesamten Prozess des Zertifikatslebenszyklus-Managements, da ein vollständiger Überblick über Ihren gesamten Zertifikatsbestand dazu beiträgt, Ausfälle zu vermeiden.
Ein weiterer wichtiger Punkt? Sie sollten herausfinden, inwieweit Ihre Organisation derzeit von den Funktionen oder Lösungen Ihrer ursprünglichen Zertifizierungsstelle abhängig ist. Schließlich ist der Erwerb neuer Zertifikate nicht immer eine große Sache – die Anpassung langjähriger Prozesse (z. B. automatisiertes Zertifikatslebenszyklus-Management) kann jedoch etwas mehr Aufwand bedeuten. Sobald Sie verstanden haben, welche Funktionen für Sie am wertvollsten sind, sollten Sie besser darauf vorbereitet sein, ähnliche Funktionen von anderen Zertifizierungsstellen zu entdecken.
Schritt 2: Wählen Sie eine neue Zertifizierungsstelle aus
Es stehen mehrere Zertifizierungsstellen zur Auswahl. Informieren Sie sich, um zukünftige Fiaskos zu vermeiden, wie die aktuelle Situation mit Entrust. Achten Sie bei der Prüfung verschiedener Zertifizierungsstellen auf viele Eigenschaften und Vorbehalte. Ja, die Preisgestaltung ist wichtig, aber dies sollte nicht die wichtigste Überlegung sein. Vielmehr hängt diese Wahl von folgenden Faktoren ab:
- Kundensupport: Ob Sie nun technische Probleme haben oder sich um die Einhaltung von Vorschriften sorgen, Sie möchten sicher sein, dass sich Experten Ihrer neuen Zertifizierungsstelle die Zeit nehmen, Ihre Fragen zu beantworten und auf Ihre Bedenken einzugehen. Sehen Sie sich die verfügbaren Support-Tools und die Reaktionszeit genau an, um sicherzustellen, dass Sie stets die benötigte Hilfe erhalten.
- Gesamtimage: Wie wird Ihre potenzielle neue Zertifizierungsstelle von Branchenführern wahrgenommen? Im Zweifelsfall sollten Sie sich für eine Zertifizierungsstelle mit einem soliden Ruf entscheiden. Sehen Sie sich Bewertungen, Auszeichnungen und Audits genau an, um zu überprüfen, wie Ihre zukünftige Zertifizierungsstelle im gesamten digitalen Ökosystem wahrgenommen wird.
- Sicherheit und Compliance: Angesichts der aktuellen Probleme mit Entrust ist klar, dass Sicherheit bei jeder Zertifizierungsstelle eine Priorität sein muss. Dies lässt sich am besten durch die Überprüfung der Zertifizierungsstellenrichtlinien überprüfen, die einen Einblick in kryptografische Verfahren und die Reaktion auf Vorfälle bieten.
- Funktionen der Automatisierungsplattform: Ein automatisierter Ansatz für das Certificate Lifecycle Management (CLM) kann die Abdeckung verbessern, den manuellen Aufwand minimieren und gleichzeitig das Risiko des Auslaufens von Zertifikaten und damit verbundener Ausfälle oder Ausfallzeiten verringern. Suchen Sie nach Zertifizierungsstellen, die robuste, automatisierte CLM-Lösungen mit zentralen Plattformen anbieten, die einfach zu navigieren sind.
- Integrationen: Je nach Ihren DevOps-Anforderungen könnten Sie sich für Zertifizierungsstellen mit robusten Integrationen in Ihren aktuellen Tech-Stack interessieren. Verbessern Sie Ihre Netzwerkarchitektur und schaffen Sie digitales Vertrauen in allen relevanten Hardware-, Software- und Komponentenbereichen. Eine CA-unabhängige Plattform wie Sectigo sollte die Navigation durch die Anforderungen mehrerer Anbieter erleichtern.
Sectigo ist eine vertrauenswürdige Zertifizierungsstelle mit einem ausgezeichneten Ruf und eine hervorragende Ressource, wenn Sie sich mit SSL/TLS-Zertifikaten ausstatten. Während Sie diesen Übergang durchlaufen, können Sie sich gerne die anderen digitalen Zertifikate und anderen Sicherheitslösungen ansehen, die Sectigo anbietet.
Schritt 3: Planen Sie den Übergang
Sie haben die perfekte Zertifizierungsstelle gefunden, die sich in Zukunft um Ihre digitalen Zertifikate kümmert – jetzt ist es an der Zeit, einen nahtlosen Übergang zu planen. Widerstehen Sie dem Drang, Ihre alte Zertifizierungsstelle zu entfernen, bevor Sie Zertifikate mit Ihrer neuen Zertifizierungsstelle ausstellen. Ja, Sie möchten vielleicht unbedingt die Zertifizierungsstelle Ihrer Wahl nutzen, aber denken Sie daran: Es ist möglich, Zertifikate von mehreren Anbietern für eine einzige Domain ausstellen zu lassen.
Die gute Nachricht: Aktuelle Zertifikate sollten bis zu ihrer Deinstallation funktionsfähig bleiben. Im Laufe der Übergangsphase können Sie neue Zertifikate von der von Ihnen gewählten Zertifizierungsstelle anfordern, die dieselben Server und Domains abdecken. Von dort aus können Sie die vorherigen Zertifikate nach eigenem Zeitplan ersetzen. Einige ziehen es vor, dies unmittelbar nach einem erfolgreichen CA-Übergang zu tun, aber dies kann auch erfolgen, wenn diese Zertifikate kurz vor dem Ablauf stehen.
Unabhängig davon, wie Sie sich für den Übergang entscheiden, müssen alle Beteiligten klar über die Einzelheiten dieses Prozesses informiert werden. Das bedeutet, dass Sie Ihre Pläne mit IT-Teams, der Geschäftsführung und anderen Interessengruppen teilen müssen.
Schritt 4: Neue Zertifikate erwerben
Zu diesem Zeitpunkt sollten Sie nicht nur mit Ihrem bisherigen Bestand an digitalen Zertifikaten vertraut sein (wie in Schritt 1 ermittelt), sondern auch mit Ihrem künftigen SSL/TLS-Zertifikatbedarf. Jetzt ist es an der Zeit, relevante Zertifikate von Ihrer neuen Zertifizierungsstelle auszuwählen. Dies erfordert neue Validierungsprozesse – aber im Idealfall führt Sie Ihre neue Zertifizierungsstelle durch diese kritischen Schritte.
Schritt 5: Zertifikatsignierungsanfragen (CSR) generieren
Seien Sie darauf vorbereitet, für jedes neue SSL-Zertifikat eine neue Zertifikatsignierungsanforderung (CSR) zu generieren. Alle CSRs müssen genaue Informationen enthalten: den offiziellen Namen Ihrer Organisation, den vollständig qualifizierten Domainnamen (FQDN), die Abteilung, die das Zertifikat verwaltet, und Ihren Standort. Durch die Erstellung des CSR wird ein neuer öffentlicher Schlüssel generiert – die Hälfte des späteren Schlüsselpaars des Zertifikats. Dies bildet die Grundlage für digitales Vertrauen und ist eine wichtige Komponente des Public-Key-Infrastruktur-Frameworks (PKI).
Schritt 6: Neue Zertifikate installieren
Es gibt viele Möglichkeiten, digitale Zertifikate zu installieren. Auch hier kann Ihre Zertifizierungsstelle Sie durch diesen Prozess führen, obwohl vieles von der Art des verwendeten Servers oder der verwendeten Anwendung abhängt. Dieser Prozess kann möglicherweise das Hochladen von Zertifikatsdateien, das Bearbeiten von Konfigurationsdateien oder das Importieren und Binden von Zertifikaten umfassen. Vergessen Sie nicht, die Installationen zu überprüfen und sicherzustellen, dass alle digitalen Zertifikate korrekt angewendet werden.
Schritt 7: Überwachen und verwalten
Gehen Sie nicht einfach davon aus, dass Ihre digitalen Zertifikate immer die von Ihnen gewünschte robuste Sicherheit bieten werden. Aktive Überwachung und Verwaltung sind von entscheidender Bedeutung. Regelmäßige Audits sind ein Muss, ebenso wie Konformitätsprüfungen.
Darüber hinaus ist es wichtig, stets auf dem Laufenden zu bleiben. Verfolgen Sie vertrauenswürdige Nachrichtenquellen, um festzustellen, ob große Veränderungen in der übergreifenden Cybersicherheits-, Verschlüsselungs- und Authentifizierungslandschaft anstehen.
Erwägen Sie die Automatisierung des Zertifikatslebenszyklus-Managements
Eine Umstellung auf 90-tägige Gültigkeitszeiträume könnte unmittelbar bevorstehen – und es ist nie zu früh, sich mit einem automatisierten Ansatz für Zertifikatserneuerungen und das Zertifikatslebenszyklus-Management vorzubereiten. Ein automatisiertes Zertifikatslebenszyklus-Management kann den Verwaltungsaufwand begrenzen und gleichzeitig die Effizienz und Genauigkeit in allen Aspekten des Zertifikatslebenszyklus steigern. Ohne automatisierte Lösungen wird das Auslaufen von Zertifikaten zu einem viel größeren Risiko.
Sectigo macht den Wechsel zu einer neuen Zertifizierungsstelle einfach
Es ist vielleicht nicht mehr möglich, Entrust-Zertifikaten zu vertrauen, aber glücklicherweise gibt es andere Optionen. Dies könnte ein guter Zeitpunkt sein, um zu einer seriösen Alternative wie Sectigo zu wechseln und gleichzeitig wertvolle Lösungen wie das automatisierte Zertifikatslebenszyklus-Management zu übernehmen. Seien Sie darauf vorbereitet, eine Lösung zu finden, bevor Google am 12. November die Frist für das Misstrauen gegenüber Entrust-Zertifikaten setzt.
Sectigo Certificate Manager (SCM), eine CA-unabhängige Lösung für den Lebenszyklus von Zertifikaten, könnte diese Lücke schließen, indem sie alle wesentlichen Prozesse rund um Zertifikate automatisiert: Erkennung, Inventarisierung, Überwachung, Ersetzen, Widerrufen und Erneuern. Unsere End-to-End-Lösung sollte Ihnen zusätzliche Sicherheit bieten, während Sie diesen wichtigen Übergang bewältigen. Buchen Sie noch heute eine Demo, um SCM in Aktion zu erleben.