TLS-Zertifikate:
90-Tage Lebenszyklus für TLS-Zertifikate: Vor oder Nachteil für IT-Sicherheit?
Jens Sabitzer ist Manager Solution Architect Central Europe bei Venafi
Seit 2015 diskutiert die Branche über die Notwendigkeit die Laufzeit von TLS-Zertifikaten zu verkürzen. Let’s Encrypt hatte damals sein erstes 90-Tage-Zertifikat ausgestellt. Diese Tat ist in der Branche als Abkehr von der üblichen dreijährigen Gültigkeitsdauer der Zertifikate hängen geblieben. Seitdem haben zahlreiche Certificate Authorities und Unternehmen wie Google nachgezogen und die Laufzeiten ebenfalls auf 90-Tage verkürzt.
Dieser Trend ist aus Security-Sicht richtig, denn eine kürzere Gültigkeitsdauer begrenzt den Schaden durch Schlüsselkompromittierung und Falschausstellung, fördert die Automatisierung des Lebenszyklus von Zertifikaten und ist für die Umstellung des gesamten Internets auf HTTPS unerlässlich. Die Ergebnisse einer Venafi-Studie zeigen, dass 83 Prozent der Unternehmen in den letzten 12 Monaten zertifikatsbedingte Ausfälle erlebt haben, während 57 Prozent Sicherheitsvorfälle durch kompromittierte TLS-Zertifikate verzeichneten. Die Verkürzung der Zertifikatslebensdauer kann das Risiko von Kompromittierungen reduzieren.
Auf der anderen Seite erhöht sich natürlich auch die Gefahr, dass es zu Zertifikat-basierten Ausfällen kommt. Vielen Unternehmen und Organisationen fehlen die Automatisierungsmöglichkeiten. Diese sind jedoch erforderlich, um Zertifikate mit kurzer Lebensdauer maschinell und schnell zu ersetzen. Deshalb werden sie wahrscheinlich mit einem starken Anstieg der Ausfälle leben müssen, die durch das unerwartete Ablaufen von Zertifikaten verursacht wird. Diese Probleme werden durch die Tatsache verschärft, dass die meisten Unternehmen Prozesse zur Zertifikatserneuerung haben, die anfällig für menschliche Fehler sind. Zusammengenommen machen diese Faktoren die Vorbeugung von Ausfällen zu einem komplexen Prozess, der durch die kürzere Lebensdauer von Zertifikaten noch viel schwieriger wird.
Venafi hat im Mai eine Lösung vorgestellt, die eine vollständige Transparenz und Kontrolle über TLS-Zertifikate zulässt. Sie reduziert den Zeitaufwand und die Risiken, die mit der Automatisierung des gesamten Lebenszyklusprozesses verbunden sind. Sie kombiniert modernste Automatisierungstechnologien mit strategischer Planung und Unterstützung, um Unternehmen zu helfen, komplexe Prozesse zu vereinfachen, Ausfälle zu reduzieren, die allgemeine Sicherheit zu verbessern und die notwendige Agilität für Initiativen wie Post-Quantum-Kryptographie zu gewährleisten.