Was ist ein Wildcard-Zertifikat?
A Wildcard-Zertifikat (wie SSL/TLS) ist ein öffentliches Schlüsselzertifikat, das mehrere Subdomänen innerhalb einer Domäne schützen kann und normalerweise von einem vertrauenswürdigen öffentlichen Zertifizierungsstelle (CA).
Mehrere Subdomains für Ihre Website können Ihrem Unternehmen zugute kommen, aber ihre Verwaltung kann auch eine Herausforderung sein. Mehrere SSL/TLS-Zertifikate Die Sicherung dieser Subdomänen erhöht deren Komplexität, aber ein Wildcard-Zertifikat kann dieses Problem effizient lösen.
Im Vergleich zur Verwaltung einzelner Zertifikate für Ihre Subdomains können Sie mit einem Wildcard-Zertifikat Zeit und Geld sparen.
Dem Domänennamen werden in der Platzhalternotation ein Sternchen und ein Punkt vorangestellt. Platzhalter werden häufig in SSL-Zertifikaten (Secure Socket Layer) verwendet, um die SSL-Verschlüsselung auf Subdomänen auszuweiten. Ein herkömmliches SSL-Zertifikat ist nur für eine einzelne Domäne gültig, z. B. www.domain.com. Ein *.domain.com-Platzhalterzertifikat schützt auch cloud.domain.com, shop.domain.com, mobile.domain.com und andere Domänen.
Warum sollte man Wildcard-Zertifikate verwenden?
Wildcard-Zertifikate sind einfacher zu verwenden, da sie es Organisationen ermöglichen, ein einziges Zertifikat für alle Subdomänen zu verwenden.
Im Folgenden sind einige Vorteile der Verwendung von Platzhalterzertifikaten aufgeführt:
- Sichern Sie eine beliebige Anzahl von Subdomains:
Ohne für jede Subdomäne ein anderes SSL-Zertifikat zu haben, kann ein einzelnes Wildcard-SSL-Zertifikat so viele Subdomänen abdecken, wie Sie möchten.
- Einfache Zertifikatsverwaltung:
Um die wachsende Anzahl öffentlich zugänglicher Domains, Cloud-Workloads und Geräte abzusichern, müssen individuelle SSL-Zertifikate bereitgestellt und ordnungsgemäß verwaltet werden. Mit einem einzigen Wildcard-Zertifikat lassen sich jedoch unbegrenzt viele Domains verwalten, was die Zertifikatsverwaltung deutlich vereinfacht.
- Kosteneinsparung
Ein Wildcard-Zertifikat kostet zwar mehr als ein normales SSL-Zertifikat, stellt aber im Vergleich zu den Gesamtkosten für die Absicherung aller Subdomains, von denen jede ihr eigenes Zertifikat benötigt, eine kostengünstige Alternative dar.
- Schnelle und flexible Implementierung:
Ein Wildcard-Zertifikat ist eine hervorragende Möglichkeit, neue Websites auf neuen Subdomains zu erstellen, die Ihr bestehendes Zertifikat abdeckt. Sie müssen nicht auf ein neues SSL-Zertifikat warten, was Ihrem Unternehmen Zeit spart und die Markteinführung beschleunigt.
Mögliche Sicherheitsrisiken von Wildcard-Zertifikaten
Wird ein Wildcard-Zertifikat für mehrere Subdomains auf verschiedenen Servern wiederverwendet, ergeben sich zusätzliche Sicherheitsrisiken für die durch SSL/TLS-Zertifikate gebotenen Schutzmechanismen. Im Falle eines Serverangriffs kompromittieren Angreifer das Zertifikat. Dadurch werden die Vertraulichkeit und Integrität des Datenverkehrs zu jeder Website, auf der das Zertifikat verwendet wird, gefährdet. Ein Angreifer, der das Zertifikat erlangt, kann den Datenverkehr entschlüsseln, lesen, verändern und erneut verschlüsseln. Dies führt mit hoher Wahrscheinlichkeit zur Offenlegung sensibler Informationen und zu weiteren gezielten Angriffen.
Wildcard-Zertifikate werden häufig verwendet, um alle Domänen mit demselben registrierten Stamm abzudecken. Dies vereinfacht die Verwaltung. Da jedoch derselbe private Schlüssel in zahlreichen Systemen verwendet wird, birgt die Freiheit, die Wildcard-Zertifikate bieten, auch erhebliche Sicherheitsrisiken:
- Zugriff auf private Schlüssel:
Wenn der private Schlüssel eines Wildcard-Zertifikats kompromittiert wird, kann der Hacker sich für das Wildcard-Zertifikat als jede beliebige Domäne ausgeben.
- Gefälschte Zertifikate
Angreifer können eine Zertifizierungsstelle (CA) dazu bringen, ein Wildcard-Zertifikat für eine Scheinorganisation auszustellen. Sobald der Angreifer die Wildcard-Zertifikate des fiktiven Unternehmens besitzt, kann er Subdomains und Phishing-Websites einrichten.
- Zertifikatsverwaltung
Alle Subdomänen benötigen ein neues Zertifikat, wenn das Wildcard-Zertifikat widerrufen wird.
- Webserver-Sicherheit
Wenn ein Server oder eine Subdomäne gehackt wird, können auch alle Subdomänen gehackt werden.
- Ein einziger Ausfallpunkt:
Der private Schlüssel eines Wildcard-Zertifikats stellt einen zentralen Angriffspunkt dar. Wird dieser Schlüssel kompromittiert, sind alle sicheren Verbindungen zu allen im Zertifikat aufgeführten Servern und Subdomains gefährdet.
Angreifer können Wildcard-Zertifikate leicht missbrauchen, wenn eine Organisation nicht über ausreichende Sicherheit, Kontrolle oder Überwachung verfügt.
Strategie, die bei der Verwendung von Wildcard-Zertifikaten zu berücksichtigen ist
- Beschränken Sie die Verwendung von Platzhalterzertifikaten auf einen bestimmten Zweck, um eine bessere Sicherheitskontrolle zu gewährleisten.
- Eine ausführliche Diskussion mit dem Sicherheitsteam und der Führungsebene über den Zweck der Verwendung eines Wildcard-Zertifikats.
- Verstehen Sie die Sicherheitsrisiken.
- Wird diese Entscheidung für Ihr Unternehmen effizienter sein?
- Planen Sie, ein Wildcard-Zertifikat zu verwenden, um Zeit zu sparen?
- Versuchen Sie, Geld zu sparen?
- Halten Sie ein genaues und aktuelles Verzeichnis der Zertifikate in Ihrer Umgebung, das die Dokumentation der Schlüssellänge, der Hash-Algorithmen, des Ablaufdatums der Zertifikate, der Speicherorte der Zertifikate und des Zertifikatsinhabers umfasst.
- Stellen Sie sicher, dass private Schlüssel gemäß den Best Practices der Branche gespeichert und geschützt werden (d. h. mithilfe eines zertifizierten HSM).
- Automatisieren Sie die Prozesse zur Erneuerung, Sperrung und Bereitstellung von Zertifikaten, um unerwartete Ablaufdaten und Ausfälle zu verhindern.
Fazit
Kein Unternehmen möchte seinen Markennamen einem Risiko aussetzen, bei dem Angreifer sensible Informationen leicht stehlen können. Wildcard-Zertifikate bieten zwar gewisse Vorteile, sollten aber bewusst und strategisch eingesetzt werden.
