Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Einrichtung, die digitale Zertifikate ausstellt, um die Identität von Websites, Servern oder Benutzern zu authentifizieren und die Integrität der Daten zu gewährleisten, die bei der Online-Kommunikation ausgetauscht werden.
Wenn eine Website kein Zertifikat hat, kann sie keine sichere Verbindung über HTTPS herstellen, wodurch ihre Daten dem Risiko des Abfangens, der Veränderung und des Missbrauchs ausgesetzt sind. Aus diesem Grund legen die Internetbrowser der GAFAM (Google, Apple, Facebook, Amazon, Microsoft) diesen Zertifizierungsstellen strenge Compliance- und Sicherheitskriterien auf, um ihren Nutzern ein sicheres Surfen zu ermöglichen. Die GAFAM sind allerdings auch echte Imperien, die in der Lage sind, ihre eigenen Regeln in der digitalen Welt quasi willkürlich oder zumindest einseitig zu gestalten und zu definieren.
Die Zertifizierungsstellen sind demnach in gewisser Weise von den Standards der GAFAM abhängig, was Unternehmen dazu veranlassen sollte, sich nicht von einer einzigen Zertifizierungsstelle abhängig zu machen. Dies gilt umso mehr, als dass Zertifizierungsstellen mit Sicherheitslücken, Angriffen oder Vorfällen konfrontiert werden können, wie es bei der niederländischen Zertifizierungsstelle DigiNotar der Fall war, die nach einem massiven Hackerangriff im Jahr 2011 gezwungen war, ihre Tätigkeit einzustellen.
Die jüngste Zertifizierungsstelle, die mit Sicherheitsproblemen zu kämpfen hatte, ist Entrust. Google Chrome hat angekündigt, das Vertrauen in seine TLS-(SSL-)Zertifikate zum 31. Oktober 2024 zu beenden und erklärt, dass diese Entscheidung aufgrund einer gründlichen Bewertung der Sicherheitspraktiken der Zertifizierungsstelle folgt. Bedenken gab es beispielweise in Bezug auf die Einhaltung der geforderten strengen Standards: zu lange Widerrufsfristen, wiederholte Schwachstellen und Risiken für die Nutzer… Die Chrome-Versionen 127 und höher werden voraussichtlich im Oktober die automatische Genehmigung der von Entrust ausgestellten TLS/SSL-Zertifikate deaktivieren. Auf Unternehmenswebsites, die deren Zertifikate verwenden, werden vermutlich Sicherheitswarnungen in Google Chrome angezeigt, die darauf hinweisen, dass die Website nicht sicher ist, oder die Erreichbarkeit der Seite wird eingeschränkt.
Entrust ist natürlich kein Einzelfall. Symantec geriet 2015 wegen der Ausstellung ungültiger TLS-Zertifikate mit Google in Schwierigkeiten. Die Zertifizierungsstelle war damals für 30% der Zertifikate im Web verantwortlich und verzeichnete Einnahmen von 400 Millionen US-Dollar, wie das Medium silicon.fr berichtete. Google hat die Symantec-Zertifikate jedoch nach und nach aus Chrome und Android verbannt. Die Entität wurde schließlich 2021 an Digicert weiterverkauft.
Zertifizierungsstellen arbeiten eng mit dem CAB Forum und den GAFAM zusammen, um die Standards für Cybersicherheit zu erhöhen und ihre Sicherheitspraktiken und -protokolle zu verbessern. Es ist unbestreitbar, dass in diesem Bereich enorme Fortschritte bei der Erhöhung der Sicherheitsstandards gemacht wurden. Der jüngste Vorfall mit Entrust zeigt jedoch die Risiken auf, die angesichts der Souveränität und des beispiellosen Einflusses der GAFAM bestehen bleiben: Niemand ist vor potenziell willkürlichen Entscheidungen dieser Technologieriesen sicher.
Angesichts dieser Schwachstellen raten wir Unternehmen zu einem Ansatz mit mehreren Zertifizierungsstellen, die bei einem spezialisierten Anbieter verwaltet werden. Durch die Diversifizierung der Zertifizierungsstellen können Unternehmen das Risiko der Abhängigkeit von einem Ausfall oder einem massiven Widerruf von Zertifikaten verringern und so ihren Fortbestand sicherstellen. Die zentrale Verwaltung von Zertifikaten bei einem vertrauenswürdigen Spezialisten wie Nameshield ermöglicht es zudem, Verfahren zu standardisieren, die Verwaltung von Verlängerungen oder die Umstellung von Zertifikaten von einer Zertifizierungsstelle auf eine andere zu vereinfachen und so mehr Flexibilität zu bieten. Die Verwaltung der Zertifikate durch eine spezialisierte Stelle ist eine Möglichkeit, die Kontinuität der Online-Dienste zu gewährleisten, Risiken zu reduzieren und die Ausgaben für Cybersicherheit angesichts einer sich ständig ändernden Bedrohungslage zu optimieren.
Insgesamt ist die Abhängigkeit von den Zertifizierungsstellen ein Risiko, das sich sowohl finanziell als auch in Bezug auf den Ruf als kostspielig erweisen kann. Um die Sicherheit und Widerstandsfähigkeit der digitalen Infrastruktur zu gewährleisten, kann eine Multi-Zertifizierungsstellen-Strategie ein wichtiger Schutz vor unvorhergesehenen Cyberbedrohungen sein.
Bildquelle : Unsplash
Der Artikel ist auch in FR verfügbar.