Wussten Sie, dass nur 46 % der Organisationen alle ihre digitalen Zertifikate und Schlüssel gesichert haben?
Wie die Daten zeigen, müssen Unternehmen alle ihre digitale ZertifikateIm Gegenteil, es gibt einen immensen Hype um Googles Bemühungen, TLS-Zertifikat Lebensdauer auf 90 Tage. Daher wird es erhebliche Auswirkungen auf Organisationen haben, die digitale Zertifikate sichern müssen. Dieser Schritt von Google muss jedoch vom Certificate Authority/Browser (CA/B) Forum ratifiziert werden. All dies wirft Fragen über die Auswirkungen und den Einfluss der CA / B-Forum.
Was ist das CA/Browser-Forum und warum ist es wichtig?
Dieses Forum wurde 2005 gegründet und umfasst CAs und Browser, die Zertifikate zur Authentifizierung verwenden. Dieser Schwerpunkt hat sich jedoch im Laufe der Zeit drastisch verändert, und heute gibt es innerhalb des CA/B-Forums zwei Hauptgruppen: Zertifikatsaussteller und deren Zertifikatskonsumenten.
Daher kann es als eine freiwillige Organisation betrachtet werden, Zertifizierungsstellen (CAs), Anbieter von Internet-Browser-Software und andere Anwendungsanbieter, die Digitale X.509-Zertifikate für SSL/TLS und Codesignatur.
Seit seiner Gründung ist das Forum für die Definition von Standards für die CA-Branche auf der Grundlage bewährter Verfahren verantwortlich. Diese Standards, oft als „Baseline Requirements“ bezeichnet, sind verfahrenstechnische und technische Richtlinien, an die sich alle öffentlichen CAs halten müssen, unabhängig davon, ob sie Mitglieder sind oder nicht.
Diese Standards verbessern in der Regel die SSL/TLS-Zertifikate werden verwendet, was den Internetnutzern zugutekommt und gleichzeitig ihre Kommunikation sichert.
Was ist ein X.509-Zertifikat?
Ein X.509-Zertifikat ist für die Sicherheit von Online-Umgebungen von enormer Bedeutung. Es fungiert als digitales Zertifikat, das dem allgemein anerkannten ITU-X.509-Standard entspricht.
Dieser Standard definiert das Format und die Struktur von Public-Key-Zertifikaten. Die X.509-Zertifikate sind für das Identitätsmanagement von zentraler Bedeutung und gewährleisten gleichzeitig die Sicherheit.
Die Stärke des X.509-Zertifikats liegt in seiner Architektur, die eine Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Dieser Kryptografiemechanismus verschlüsselt Nachrichten mithilfe des Schlüsselpaars und gewährleistet so die Authentizität des Absenders und die Vertraulichkeit der übertragenen Informationen.
Bedeutung von X.509-Zertifikaten
Wussten Sie, dass 49 % der Organisationen aufgrund eines CA-Kompromitts mit Sicherheitsvorfällen konfrontiert waren?
Die Daten zeigen, wie wichtig ein effizientes Zertifikatsmanagement zur Minimierung von Sicherheitsrisiken ist. Die primäre Anwendung von X.509-basierten Public-Key-Infrastruktur (PKI) wird in den Protokollen TLS und SSL beachtet, die die Grundlage für sicheres Surfen im Internet durch das weitgehend standardisierte HTTPS-Protokoll bilden.
Darüber hinaus geht die Vielseitigkeit des X.509-Protokolls über Websicherheit und digitale Signaturen hinaus und umfasst die Code-Signierung für die Anwendungssicherheit sowie verschiedene kritische Internetprotokolle.
Aktuelle Änderungen bei TLS-Zertifikaten
SSL/TLS 1.0
Bisher konnten SSL-Zertifikate für einen Zeitraum von fünf Jahren ausgestellt werden. Diese Laufzeit wurde später auf drei Jahre und zuletzt auf zwei Jahre plus drei Monate reduziert. Im Jahr 2020 kündigten Apple, Google und Mozilla jedoch an, eine einjährige Laufzeit durchzusetzen. SSL-Zertifikate obwohl dieser spezielle Vorschlag vom CA/B-Forum abgelehnt wurde. Dies trat im September 2020 in Kraft.
TLS v1.1
TLS 1.1 wurde im April 2006 in RFC 4346 spezifiziert. Es handelte sich um ein Upgrade von TLS 1.0 und einen optimalen Schutz gegen Cipher-Block Chaining (CBC)-Angriffe. TLS 1.1 unterstützt die IANA-Registrierungsparameter.
TLS v1.2
TLS 1.2, spezifiziert in RFC5246 im August 2008, ist ein modernes authentifiziertes Verschlüsselungsprotokoll. Derzeit wird angenommen, dass die Version TLS 1.2 sicher vor Angriffen ist.
TLS v1.3
Die wichtigste Änderung in der Arbeitsgruppe für Serverzertifikate ist die offizielle Anerkennung einer Unterscheidung zwischen kurzlebigen und langlebigen TLS-Zertifikaten. In der Vergangenheit war diese Trennung nicht sehr deutlich. Das CA/B-Forum erkennt jedoch jedes TLS-Zertifikat mit einer Gültigkeit von zehn Tagen oder weniger als kurzlebig an und unterliegt anderen Anforderungen.
Diese Empfehlung soll 2024 in Kraft treten. Bis 2026 kann die Lebensdauer des TLS-Zertifikats weiter auf 7 Tage oder weniger reduziert werden. Diese Unterscheidung hat keine großen Auswirkungen auf langlebige TLS-Zertifikate, die weiterhin benötigt werden. CRLs.
Diese Unterscheidung wirkt sich jedoch auf kurzlebige TLS-Zertifikate aus. Aufgrund der großen Menge dieser Zertifikate erfolgt kein Widerruf. Daher müssen Sie für TLS-Zertifikate mit einer Lebensdauer von sieben Tagen oder weniger keine Widerrufsinformationen anhängen.
Dies bedeutet, dass die Zertifizierungsstelle nicht mehr verpflichtet sein wird, kurzlebige Zertifikate zu widerrufen. Eine weitere wichtige Änderung, die bis 2024 in Kraft treten wird, ist, dass die OCSP wird für kurzlebige Zertifikate optional.
Fazit
Aus den obigen Ausführungen lässt sich schlussfolgern, dass digitale Zertifikate im Zeitalter der digitalen Sicherheit geschützt werden müssen. Angesichts einer alarmierenden Sicherheitslücke von 49 % in Unternehmen aufgrund von CA-Kompromittierungen und der jüngsten Bemühungen von Google, die Lebensdauer von TLS-Zertifikaten zu verkürzen, ist die Verwaltung des komplexen Lebenszyklus digitaler Zertifikate wichtiger denn je.
CertSecure Manager ist die optimale Lösung zur Optimierung Ihres Zertifikatslebenszyklusmanagements und zur Gewährleistung der Einhaltung sich entwickelnder Standards. Mit CertSecure Manager können Unternehmen ihre Sicherheitslage stärken und gleichzeitig die mit der Schlüssel- und Zertifikatsverwaltung verbundenen Risiken minimieren.
