Jens Sabitzer, Manager Solution Architect Central Europe bei Venafi, erklärt, wie die kürzere Laufzeit von TLS-Zertifikaten durch Automatisierung überwunden werden kann.

Jens Sabitzer, Manager Solution Architect Central Europe at Venafi, explains how the shorter duration of TLS certificates can be overcome through automation.

Shrinkflation in der Cyberwelt bedeutet, mehr Geld für weniger Leistung zu verlangen. Google hat im März angekündigt, die Laufzeit von Transport Layer Security (TLS) Zertifikaten von 13 Monaten auf 90 Tage zu verkürzen. Aus Sicht der Cybersicherheit ist dies nicht unbedingt eine schlechte Nachricht. Zum einen will Google Unternehmen bzw. deren Administratoren dazu bringen, Zertifikate nicht mehr einmal im Jahr manuell zu verwalten, sondern auf Automatisierung zu setzen.

Zum anderen soll der bisherige Ansatz, Zertifikate zu widerrufen, in Frage gestellt werden. Certificate Revocation Lists (CRLs) werden von den Zertifizierungsstellen geführt und können zu Performanceproblemen führen. Auch das Online Certificate Status Protocol (OCSP) kann Datenschutzbedenken aufwerfen. Kürzere Laufzeiten würden die Notwendigkeit von Sperrungen verringern und diese Bedenken ausräumen.

Auch wenn beides gute Gründe für eine Umstellung auf kürzere Zertifikatslaufzeiten sind, wie sie Google jetzt vorschlägt, sind die Bedenken hinsichtlich der erhöhten Anforderungen an das Zertifikatsmanagement ebenso berechtigt. DevOps, Cloud, Cloud Native und mehr sorgen bereits in vielen Unternehmen für kürzere Zertifikatslaufzeiten.

Manuelle vs. automatisierte Zertifikatsverwaltung

Viele administrative Aufgaben im Zusammenhang mit einem TLS-Zertifikat können automatisiert werden. Das NIST geht in der Richtlinie NIST SP 1800-16 näher darauf ein. Die Institution empfiehlt unter anderem die Verwendung eines zentralen Systems zur automatisierten Verwaltung von Zertifikaten. Dabei sollten folgende Funktionen zur Verfügung stehen

– Nachvollziehbarkeit: Alle TLS-Zertifikate und andere Maschinenidentitäten werden in einem Inventar gefunden, kategorisiert und zentral verwaltet.

– Konsistenz: Unternehmensweite Sicherheitsrichtlinien durch Automatisierung und Workflows durchsetzen.

– Zuverlässigkeit: Bereitstellung von Anfragen zur Verwaltung von Maschinenidentitäten innerhalb von Millisekunden als schneller, hochverfügbarer Dienst, z. B. für Audits.

Fazit

Wenn ein zentrales System zur automatischen Verwaltung von Maschinenidentitäten in einem Unternehmen vorhanden ist, dann ergeben sich eine Reihe von Möglichkeiten. Einer der größten Vorteile ist die Vermeidung von Fehlern, z.B. eine Fehlkonfiguration eines Zertifikats. Die Krypto-Flexibilität ist ebenso zu nennen. Meistens handelt es sich dabei um die Folgen einer kritischen Sicherheitslücke, bei der ein Anbieter mitteilt, dass die Zertifikate eines Produkts nach einem bestimmten Patch-Datum nicht mehr sicher sind.

Oder es muss ein PKI-Anbieter nach einer Fusion oder Übernahme ersetzt oder zu einem anderen gewechselt werden. Durch Automatisierung kann das TLS-Maschinen-Identitätsmanagement auf Gruppen wie Entwicklungsteams ausgeweitet werden. Sie können dann Cloud-native Anwendungen in Maschinengeschwindigkeit erstellen, was manuell niemals möglich wäre.

Shrinkflation in the cyber world means charging more money for less performance. Google announced in March that it would shorten the duration of Transport Layer Security (TLS) certificates from 13 months to 90 days. From a cybersecurity perspective, this is not necessarily bad news. For one thing, Google wants to get companies or their administrators to stop managing certificates manually once a year and instead rely on automation.

For another, the current approach to revoking certificates is to be challenged. Certificate Revocation Lists (CRLs) are maintained by the certification authorities and can lead to performance problems. The Online Certificate Status Protocol (OCSP) can also raise privacy concerns. Shorter durations would reduce the need for revocation and address these concerns.

While both are good reasons to move to shorter certificate durations, as Google is now proposing, concerns about increased certificate management requirements are equally valid. DevOps, cloud, cloud native and more are already driving shorter certificate runtimes in many enterprises.

Manual vs. automated certificate management

Many administrative tasks associated with a TLS certificate can be automated. NIST goes into more detail about this in its NIST SP 1800-16 guideline. Among other things, the institution recommends using a centralized system for automated certificate management. The following functions should be available

– Traceability: All TLS certificates and other machine identities are found, categorized and centrally managed in an inventory.

– Consistency: Enforce enterprise-wide security policies through automation and workflows.

– Reliability: Deliver machine identity management requests within milliseconds as a fast, highly available service, e.g., for audits.

Conclusion

When a centralized system for automated machine identity management is in place in an organization, a number of opportunities arise. One of the biggest benefits is the avoidance of errors, such as a misconfiguration of a certificate. Crypto flexibility should also be mentioned. Most often, this is the result of a critical vulnerability, where a vendor communicates that a product’s certificates are no longer secure after a certain patch date.

Or a PKI vendor needs to be replaced or switched to another after a merger or acquisition. Through automation, TLS machine identity management can be extended to groups such as development teams. They can then create cloud-native applications at machine speed, which would never be possible manually.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner