Kostenloser Test
Kontakt
Sectigo Blog

Verständnis für absichtlich verzögerte Sperrungen: eine Bedrohung für das Vertrauen

RSS-Feed

Die absichtliche Verzögerung der Zertifikatsrücknahme gefährdet die Internetsicherheit. Kompromittierte Zertifikate bleiben unnötig lange gültig, wodurch Angreifer Schwachstellen ausnutzen können. Dies untergräbt das Vertrauen in die Web-PKI und schwächt Branchenstandards. Sectigo setzt sich für eine sofortige, transparente Rücknahme ein. Die CA-Branche muss gemeinsam handeln, um diese Bedrohung zu eliminieren und ein sicheres digitales Ökosystem zu gewährleisten.

Tim Callan
Von Tim Callan, Leiter der Abteilung Compliance
25. Februar 20255 Min. Lesezeit

Inhaltsverzeichnis

Vertrauen ist die Grundlage des modernen Internets. Jede sichere Website, jede vertrauenswürdige E-Mail und jedes signierte Dokument hängt von der zugrunde liegenden Integrität der Web Public Key Infrastructure (PKI) ab. Doch wie jedes Ökosystem ist auch die Web-PKI nur so stark wie ihr schwächstes Glied. Unter den verschiedenen Problemen, die dieses Vertrauen bedrohen, sticht eines hervor, das sowohl allgegenwärtig als auch vermeidbar ist: die absichtlich verzögerte Sperrung.

Diese schädliche Praxis, bei der kompromittierte Zertifikate absichtlich über längere Zeiträume gültig bleiben, hat sich zu einer branchenweiten Plage entwickelt. Sie untergräbt die Sicherheit, schwächt das Vertrauen der Benutzer und öffnet Cyberkriminellen Tür und Tor.

Als eine der führenden Zertifizierungsstellen (CAs) hat Sectigo schon lange erkannt, dass eine absichtlich verzögerte Sperrung nicht mit dem Auftrag vereinbar ist, das Gemeinwohl zu schützen. In diesem Artikel werden wir erläutern, warum diese Praxis fortbesteht, welche Gefahren sie birgt und warum die CA-Gemeinschaft entschlossen handeln muss, um sie zu beseitigen.

Was ist eine absichtlich verzögerte Sperrung?

Wenn ein Zertifikat falsch ausgestellt, kompromittiert oder anderweitig als nicht vertrauenswürdig eingestuft wird, ist die zuständige CA verpflichtet, es zu sperren. Durch die Sperrung wird sichergestellt, dass das Zertifikat nicht mehr gültig ist, und verhindert, dass es von böswilligen Akteuren missbraucht wird.

Die Sperrung erfolgt jedoch nicht immer sofort. Bei absichtlich verzögerten Sperrungen entscheiden sich einige Zertifizierungsstellen dafür, ihre Bequemlichkeit – oder die ihrer Kunden – über die Integrität der Web-PKI zu stellen. Anstatt das Zertifikat umgehend ungültig zu machen, verzögern sie den Prozess, um Störungen für die Kunden zu minimieren oder die Komplexität des Betriebs zu vermeiden.

Die Begründung für diese Praxis hängt oft von kurzfristigen Vorteilen ab: Aufrechterhaltung der Kundenzufriedenheit, Senkung der Supportkosten oder Vermeidung von Peinlichkeiten durch das Eingestehen von Fehlern. Diese Rechtfertigungen ignorieren jedoch die umfassenderen Auswirkungen auf Sicherheit und Vertrauen.

Warum es eine Bedrohung darstellt

Die Auswirkungen einer absichtlich verzögerten Sperrung gehen weit über die Grenzen der einzelnen Zertifizierungsstelle hinaus. Sie untergräbt genau das Vertrauen, das öffentliche Zertifizierungsstellen schützen sollen.

  1. Schafft ein Fenster der Verwundbarkeit: Durch die verzögerte Sperrung bleiben kompromittierte Zertifikate gültig und ausnutzbar. Dies gibt Angreifern die Möglichkeit, sich als vertrauenswürdige Instanzen auszugeben, sensible Daten zu stehlen oder Phishing-Kampagnen zu starten.
  2. Untergräbt das Vertrauen in das Ökosystem: Öffentliche Zertifizierungsstellen arbeiten innerhalb eines gemeinsamen Vertrauensrahmens. Wenn eine Zertifizierungsstelle ihren Verpflichtungen nicht nachkommt, wirft dies ein schlechtes Licht auf das gesamte Ökosystem. Benutzer verlieren möglicherweise das Vertrauen in sichere Kommunikation insgesamt.
  3. Schwächt die Einhaltung von Vorschriften und Standards: Die absichtliche verzögerte Sperrung schafft einen gefährlichen Präzedenzfall. Wenn Zertifizierungsstellen glauben, dass sie die Regeln aus Bequemlichkeit ignorieren oder umgehen können, untergräbt dies die Standards, die für die Gewährleistung einer robusten Web-PKI von entscheidender Bedeutung sind.
  4. Führt zu Misstrauen und regulatorischen Konsequenzen: Prominente Beispiele für verzögerte Sperrungen, wie z. B. bei Zehntausenden von Zertifikaten, haben zu erheblichen Gegenreaktionen geführt. Einige Zertifizierungsstellen sahen sich mit Misstrauen und der Entfernung aus den Stammprogrammen von Browsern konfrontiert, ein drastischer und öffentlicher Misserfolg, der ihre Existenz gefährdet.

Warum Zertifizierungsstellen handeln müssen

Bei Sectigo betrachten wir die Rücknahme als moralische und betriebliche Notwendigkeit. Wenn ein Zertifikat kompromittiert wird, tickt die Uhr und wir ergreifen sofort Maßnahmen. Das ist nicht immer einfach. Es erfordert erhebliche Investitionen in die Automatisierung, transparente Kommunikation mit den Kunden und die Bereitschaft, kurzfristige Unannehmlichkeiten in Kauf zu nehmen.

Aber der Lohn ist klar: ein sichereres, vertrauenswürdigeres Ökosystem.

Ethische Führung verlangt, dass öffentliche CAs die höchsten Standards einhalten, auch wenn es schwierig ist. Verzögerte Sperrungen sind nicht nur eine schlechte Angewohnheit, sondern ein Verrat an dem Vertrauen, das uns als Torwächter des Internets entgegengebracht wird.

Ein Aufruf an die CA-Community

Die Lösung für dieses Problem ist klar: Öffentliche CAs müssen sich dazu verpflichten, es besser zu machen. Dies beginnt mit der Erkenntnis, dass absichtliche verzögerte Sperrungen in unserer Branche keinen Platz haben. Von dort aus müssen Investitionen in Systeme getätigt werden, die eine sofortige Sperrung sowohl praktisch als auch effizient machen.

Auch die Rechenschaftspflicht ist von entscheidender Bedeutung. Browserprogramme und Branchenverbände müssen Zertifizierungsstellen zur Rechenschaft ziehen, wenn sie ihren Verpflichtungen nicht nachkommen. Die Folgen von Untätigkeit – oder schlimmer noch, Selbstgefälligkeit – sind einfach zu groß.

An alle Zertifizierungsstellen: Eine absichtliche verzögerte Sperrung ist eine Entscheidung. Es ist an der Zeit, eine bessere zu treffen.

Vertrauen muss verdient werden

Vertrauen ist keine erneuerbare Ressource. Es wird über Jahre hinweg mühsam aufgebaut und kann in einem Augenblick verloren gehen. Eine absichtlich verzögerte Sperrung untergräbt genau das Vertrauen, das die Web-PKI am Laufen hält.

Bei Sectigo haben wir es uns zur Aufgabe gemacht, das Gemeinwohl, Transparenz und Sicherheit in den Vordergrund zu stellen. Wir fordern andere in der CA-Community auf, sich uns anzuschließen, um diese schädliche Praxis zu beseitigen und das Vertrauen, das die Benutzer täglich in uns setzen, aufrechtzuerhalten.

Vertrauen ist zu wertvoll, um es zu verschwenden. Das Internet hat Besseres verdient. Lassen Sie uns liefern.

Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!

Verwandte Beiträge:

Root Causes 388: Was ist WebPKI?

Was ist eine Zertifikatsperrung und wann sollte ein SSL-Zertifikat gesperrt werden?

Was es braucht, um eine seriöse Zertifizierungsstelle zu sein