DigiCert-Widerruf zeigt: Ausbau der eigenen Krypto-Agilität wichtiger denn je
Oktober 2024 von Johannes Goldbach, Sales Director DACH & CZ bei Keyfactor
Juli dieses Jahres hat der Anbieter hochsicherer Zertifikats-Lösungen DigiCert bekannt gegeben, einige seiner Zertifikate zu widerrufen, da diese ohne ordnungsgemäße Domain Control Verification ausgestellt worden waren. Nach den Regeln des CA/Browser Forums müssen Zertifikate mit Problemen bei der Domainvalidierung ausnahmslos innerhalb von 24 Stunden widerrufen werden. Weltweit mussten Unternehmen rasch ermitteln, ob sie betroffen waren und dann, falls ja, ihre Zertifikate erneuern. Andernfalls drohten Ausfälle.
Für viele Unternehmen – egal, ob sie nun betroffen waren oder nicht – dürfte dies kein leichtes Unterfangen gewesen sein. Ist es um die Krypto-Agilität der IT-Systeme der meisten Unternehmen doch nach wie vor nicht allzu gut bestellt. Die Fähigkeit, die eigenen kryptografischen Ressourcen schnell und umfassend an Änderungen anzupassen, rasch auf Vorfälle, wie den von DigiCert, zu reagieren, ist bei den meisten von ihnen nur schwach entwickelt. Nicht zuletzt, da viele immer noch mit manuellen Tabellenkalkulationsprogrammen oder einer Vielzahl unterschiedlicher PKI-Tools operieren, was es ihnen stark erschwert – wenn nicht gar unmöglich macht – einen Überblick über sämtliche im Einsatz befindlichen Zertifikate zu erhalten.
Tatsächlich handelt es sich hier nicht um eine einfache Aufgabe. Im Durchschnitt operiert ein Unternehmen mit über 80.000 internen Zertifikaten und sieben internen ausstellenden Zertifizierungsstellen. Hinzu kommt: eine Vielzahl – häufig hunderte und tausende – von Zertifikaten, die dem Unternehmen meist gänzlich unbekannt sind. Einige stammen noch aus der letzten Fusion oder der vorletzten Übernahme, andere von ehemaligen Mitarbeitern, wieder andere aus kurzlebigen Initiativen.
Der erste Schritt auf dem Weg zu einer Anhebung der eigenen Krypto-Agilität ist deshalb, sich einen umfassenden Überblick zu verschaffen.
Hierzu müssen die Zertifikats-Bestände zunächst in ein einheitliches Inventar überführt werden. Es bedarf einer effektiven Erkennung und einheitlichen Verwaltung aller Zertifizierungsstellen, Zertifikate, sämtlicher kryptografischer Ressourcen. Kurzum: einer effektiven und effizienten PKI-Infrastruktur. Am besten eignet sich hierzu eine umfassende PKI-Plattform. Sie ist stark skalierbar und kann Teams effektiv und effizient dabei unterstützen, das Ausfallrisiko zu minimieren sowie die Krypto-Agilität zu optimieren.
Ist solch eine solide PKI-Infrastruktur erst einmal eingerichtet, ist ein zentralisiertes kryptografisches Inventar angelegt, können Unternehmen dann daran gehen, bestehende manuelle Zertifikats-Prozesse zu automatisieren. Bereits eine Automatisierung der Lebenszyklusverwaltung von Zertifikaten stellt eine erhebliche Arbeitserleichterung dar. In manchen Fällen kann die für die Zertifikats-Erneuerung eingeplante Arbeitszeit, dank Plattform-Automatisierung, von mehreren Wochen auf wenige Sekunden reduziert werden.
Weltweit kommen in Unternehmen mehr und mehr Zertifikate zum Einsatz – mit jedem Jahr. Diese müssen gemanagt, gewartet und vor allem: schnell an unvorhergesehene Änderungen angepasst werden können. Ein Ziel, das sich ohne einen kontinuierlichen und systematischen Ausbau der eigenen Krypto-Agilität nicht erreichen lassen wird.