Um die Sicherheit ihrer Public-Key-Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best-Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. Verfügt doch nicht jedes PKI-Team über (ausreichend) geschulte PKI-Fachkräfte.
Wenn ein Zertifikat kompromittiert, missbraucht oder falsch konfiguriert worden ist, wenn sich Wesentliches am Status des Zertifikatsinhabers geändert hat, müssen PKI-Teams die betroffenen Zertifikate aktiv widerrufen. Hierzu stehen ihnen drei Optionen zur Auswahl:
- die Certificate-Revocation-List (CRL): Zertifikatssperrlisten erleichtern PKI-Teams die Verwaltung von Zertifikatswiderrufen. Wenn ein Zertifikat widerrufen werden soll, muss seine Seriennummer in eine CRL eingetragen werden. Hierbei handelt es sich um eine Datei, die von einer Zertifizierungsstelle gepflegt, aktualisiert und regelmäßig veröffentlicht wird. Neben einer Aufzeichnung aller widerrufenen Zertifikate wird in CRLs auch das Datum des Widerrufs abgespeichert.
- das Online-Certificate-Status-Protocol (OCSP): Auch das Zertifikatsstatusprotokoll kann für Widerrufe genutzt werden. Im Gegensatz zu CRLs, deren Nutzung ein Herunterladen und eine Prüfung der Listen erforderlich macht, ermöglicht das OCSP ressourcenschonende Statusprüfungen in Echtzeit. Große CRL-Dateien müssen nicht verarbeitet werden. Hohe Latenzzeiten und Overhead, die mit herkömmlichen CRL-Downloads einhergehen, werden so wesentlich reduziert, was besonders dann nützlich ist, wenn Umgebungen zeitnahe Statusprüfungen von Zertifikaten erfordern.
- das Certificate-Lifecycle-Management (CLM)-Tool: In Schwachstellen-Szenarien, in denen eine Vielzahl von Zertifikaten betroffen ist, kommen PKI-Teams nicht um Massenwiderrufe und Massenneuausstellungen herum. Manuell lassen sich diese aber nur bewerkstelligen, wenn ausreichend Arbeitskräfte und -zeit zur Verfügung stehen. Das dürfte aber nur in den wenigsten Unternehmen der Fall sein. Effizienter – und auch effektiver – ist deshalb der Einsatz eines speziellen Tools zur Verwaltung des Lebenszyklus von Zertifikaten. Innerhalb kürzester Zeit können mit seiner Hilfe sämtliche betroffenen Zertifikate erkannt und widerrufen, können neue Zertifikate ausgestellt werden – selbst wenn hierfür nur sehr wenige personelle Ressourcen zur Verfügung stehen.
Bei all dem ist zudem darauf zu achten, dass sämtliche Zertifikatsänderungen sauber dokumentiert werden müssen. PKI-Teams werden rasch feststellen, dass sie dabei mit einer rein manuellen Nachverfolgungsmethode – auch heute noch stellt die manuelle Dokumentation mittels Einträgen in Excel-Tabellen in vielen Unternehmen den Standard dar – zu viel Zeit verbrauchen, zu fehleranfällig sind. Schon bei regulären Erneuerungsverfahren von Zertifikaten geht hier häufig etwas schief. Im Fall von schwachstellenbedingten Widerrufen gilt dies um so mehr. Müssen Änderungen hier doch möglichst rasch vorgenommen werden, um Sicherheitsrisiken bei der Datenübertragung so schnell wie möglich zu reduzieren.
IT-Entscheidern und PKI-Teams kann deshalb nur geraten werden, sich nach automatisierten PKI-/CLM-Lösungen umzusehen. Ohne sie werden sich zertifikatsbedingte Ausfälle und Unterbrechungen von IT und OT, von IoT und IIoT bereits in naher Zukunft nicht mehr effektiv – und effizient – verhindern lassen.
Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor
