Kategorie: Cybersicherheit

ICANN82: Stabilität, Sicherheit und Geschlossenheit als Gegengewicht zu den aktuellen Umwälzungen

Die Saison 2025 der ICANN-Meetings zur Internet Governance begann im März in der Smaragdstadt Seattle in den Vereinigten Staaten von Amerika. 2025, ein Jahr mit „außergewöhnlichen Zeiten“, wie es die Vorstandsvorsitzende Tripti Sinha nannte. Während die Welt durch geopolitische, aber auch technologische Entwicklungen wie KI oder Quantencomputer erschüttert wird, will die ICANN vor allem auf das „Kontrollierbare“ und die Chancen blicken mit der Vorbereitung der nächsten Runde neuer generischer TLDs und dem frischen Blick ihres Vorsitzenden Kurt Erik „Kurtis“ Lindqvist, der sein Amt 91 Tage vor ICANN82 antrat.

Der richtige Zeitpunkt für eine ehrliche Bestandsaufnahme

Anlässlich seines ersten Gipfels als amtierender ICANN-Präsident berichtete Kurt Erik Lindqvist, dass er von der Community gut aufgenommen wurde. Er wünscht sich, dass Probleme frühzeitig erkannt werden, um die ICANN-Prozesse reibungsloser zu gestalten und einen agileren Ansatz der Organisation zu ermöglichen. Für die nächste Runde neuer generischer Endungen, die eine entscheidende Herausforderung für die Organisation darstellt, sagte er, dass alles Notwendige getan werde, „um den Zeitplan einzuhalten“.

Tripti Sinha erinnerte daran, dass die ICANN ihren strategischen Plan für den Zeitraum 2026 bis 2030 fertiggestellt hat, um den künftigen Bedürfnissen gerecht zu werden, und betonte, dass die finanzielle Nachhaltigkeit ein weiteres zentrales Thema sei. Dieser Plan soll den Multi-Stakeholder-Ansatz und die Einbeziehung aller Interessengruppen fördern, die Kultur der kontinuierlichen Verbesserung fortsetzen, die Aufmerksamkeit der Interessengruppen auf neue Technologien lenken und die Sicherheit und Stabilität des Internets stärken. In einem ernsteren Ton wies sie darauf hin, dass wir uns in einer Welt befinden, die „unberechenbar“ geworden ist. Sie stellte klar, dass sich der menschliche Geist in „außergewöhnlichen Zeiten nach der Stabilität, Sicherheit und Einheit sehnt, die in den Mission Statements der ICANN enthalten sind“ und dass „ICANN eine zuverlässige und stabile Institution bleiben muss“.

Kurt Erik Lindqvist – amtierender Präsident der ICANN

Auf die Eröffnungszeremonie folgte eine Sitzung, die von Sally Costerton geleitet wurde, die nun als Beraterin des Präsidenten für das Engagement der Gemeinschaft fungiert. Sie leitete eine Sitzung zu einem Community-Feedback über die Funktionsweise der jährlichen Meetings, die von ICANN organisiert werden. Während bei der Einführung von ICANN82 1.828 Personen registriert waren, erfuhren die Teilnehmer, dass die Kosten für die Gipfeltreffen zwischen 2018 und 2024 um 31% gestiegen sind und derzeit ein Budget von 2,3 Millionen USD pro Treffen darstellen. Es wurden verschiedene Optionen diskutiert, wie z. B. die Teilnahme an den Gipfeltreffen kostenpflichtig zu machen oder, was wahrscheinlicher ist, die Anzahl der Präsenzveranstaltungen oder die Dauer der Gipfeltreffen zu reduzieren.

Die nächste Runde der neuen generischen TLDs wird immer konkreter

Wenn man bisher von April 2026 als Beginn der Bewerbungsfrist gehört hat, würde der 25. April als D Day gelten. Die nächste Runde hat auch einen bekannten Kostenpunkt mit einer Bewerbungsgebühr von 227.000 USD. Dieser Betrag beruht auf einer Hochrechnung von 1.000 Bewerbungen, mit denen ein finanzieller Ausgleich erreicht werden könnte. Das Programm zur Unterstützung von Bewerbern, mit dem unterversorgte geografische Gebiete gefördert werden sollen, ist ebenfalls auf dem Weg und nimmt bereits Anträge an. Auf der ICANN82 wurde bekannt, dass 13 Anträge initiiert wurden. Die Umsetzung aller Empfehlungen des Subpro Policy Development Process ist hingegen noch nicht abgeschlossen. Zu den aktuellen Schwerpunkten der laufenden Arbeiten gehören die Formulierung des Vertrags, den zukünftige Registry-Betreiber unterzeichnen müssen, und der wertvolle Leitfaden für Bewerbungen.

Dreizehn Jahre nach der letzten Runde der neuen generischen TLDs wurde auch eine Sitzung über das ICANN-Grant-Programm abgehalten. Dieses Programm zielt darauf ab, einen Teil des Reservefonds, der aus den Auktionen für Mehrfachbewerbungen stammt, durch finanzielle Unterstützung neu zu verteilen. Die Auktionen hatten einen Reservefonds von 240 Millionen US-Dollar ergeben. Für die 2024 beginnende Runde waren 10 Millionen US-Dollar für Projektträger vorgesehen, die eine Reihe von Kriterien erfüllen mussten. Das Programm wurde Opfer seines eigenen Erfolgs: 247 Anträge aus 64 Ländern gingen ein, die Gesamtfinanzierung hätte 83 Millionen US-Dollar betragen.

ICANN-Richtlinien im Schatten von Gesetzen zu Cybersicherheit und neuen Technologien

Während die Mitgliedstaaten die NIS2-Richtlinie zur Cybersicherheit in nationales Recht umsetzen und in den USA die letzten Schiedsverfahren über den letzten Entwurf des CIRCIA-Gesetzes (Cyber Incident Reporting for Critical Infrastructure Act) laufen, werden in der ICANN weiterhin mehrere verwandte Themen diskutiert. Dies gilt für den Zugriff auf die Registrierungsdaten von Domainnamen im Rahmen legitimer Bedürfnisse. Auf Anregung des Governmental Advisory Committee (GAC), das die Regierungen vertritt, werden Möglichkeiten zur Authentifizierung von rechtmäßigen Antragstellern in Betracht gezogen, damit diese spezifisch identifiziert werden können, um bei Anträgen auf Datenzugriff bevorzugt behandelt zu werden. Das künftige System soll vor allem auf spezifische Fälle von unmittelbaren Bedrohungen reagieren, die mit der Ausbeutung von Kindern, Angriffen auf die Integrität von Personen oder kritischen Infrastrukturen verbunden sind.

Bezüglich des missbräuchlichen Gebrauchs des DNS erklärte die Compliance-Abteilung der ICANN fast ein Jahr nach der Einführung restriktiver Maßnahmen für Registrierungsstellen und Registrare, dass derzeit 46 Untersuchungen zu DNS-Missbrauch mit Mitigationsmaßnahmen laufen, die über 5400 Domainnamen betreffen.

Ein weiterer Trend ist, dass die mediane Zeit bis zur vollständigen Behebung einer Missbrauchsmeldung im Falle von Phishing und Malware 7,5 Tage beträgt. Dieser Zeitraum hat sich seit der Einführung der ICANN-Maßnahmen verkürzt. Ein weiterer Schatten, der über ICANN82 liegt, ist der Regierungswechsel in den USA. Zwar hatte er bislang keine Auswirkungen auf ICANN, doch vor allem die Unberechenbarkeit der neuen Regierung warf bei den Teilnehmern viele Fragen auf.

Auch die KI wurde angesprochen. Eine Technologie, die wie Dr. Jekyll und Mr. Hyde Vorteile bringen kann, wenn sie als Ressource genutzt wird, z. B. um Missbrauch abzumildern, die aber auch für bösartige Zwecke genutzt werden kann, indem sie immer raffinierteren Missbrauch begeht. Auch das Thema eines Governance-Rahmens wurde angesprochen. Ein Thema, an dem das Internet Governance Forum und das globale Forum WSIS+20, das von der Internationalen Fernmeldeunion und den Vereinten Nationen organisiert wird, arbeiten sollten.

Abschließend bleibt festzuhalten, dass ICANN82 von der Neugier geprägt war, die durch den Auftritt des neuen Präsidenten ausgelöst wurde, dessen öffentliches Forum am Ende des Gipfels zeigte, dass jede Äußerung geprüft und analysiert wurde. Ein Gipfel, auf dem auch der sehr instabile technologische, rechtliche und geopolitische Kontext, in dem wir uns befinden, nicht ausgespart wurde. Dieser Instabilität können Lösungen gegenübergestellt werden, die Sicherheit, Zuverlässigkeit und Stabilität bieten. Da man dazu neigt, zu sagen, dass Steine und Immobilien eine solide Investition sind, ist auch der Erwerb einer dotBrand im Hinblick auf die nächste Runde im nächsten Jahr eine solide Investition. Sie ermöglicht es Ihnen, Eigentümer eines Stücks Internet zu werden, eines vor Angriffen geschützten Namensraums, in dem als zuverlässig geltende Adressen eingerichtet werden können, damit Ihre Zielgruppen Sie finden und Sie sich vertrauensvoll an Sie wenden können, und zwar dauerhaft über einen langen Zeitraum hinweg. In diesen Zeiten müssen auch die Begriffe wie Unabhängigkeit und Nähe berücksichtigt werden. In diesem Zusammenhang sei daran erinnert, dass Nameshield seit über 30 Jahren ein unabhängiger europäischer Akteur ist, zu dessen Fachgebieten das Management von dotBrand-Projekten gehört.

Bildquelle: Veronika Andrews via Pixabay

Treffen Sie Nameshield auf dem Cybersecurity Summit!

Seien Sie dabei, wenn sich in Hamburg die Crème de la Crème der IT-Security Branche trifft!

Welche Cybersecurity Strategien sind tragfähig für die Zukunft? Wie kann die Gewinnung von Frauen für das Arbeitsfeld IT-Security zum Kampf gegen den Fachkräftemangel beitragen? Welche Awareness-Maßnahmen tragen effektiv für ein besseres Bewusstsein für die Risiken der digitalen Welt bei?

Unseren Beitrag zur Erhöhung der Cybersecurity Awareness bereits im Kinderzimmer können Sie vor Ort live erleben – wir haben wieder die beliebten Pulpi-Bücher im Gepäck.

Am 14.05. um 14:45 Uhr bereiten wir uns auf der Zugspitze Bühne dann gemeinsam mit Ihnen auf eine kleine Sensation in der Welt der sicheren Domains vor: nach 14 Jahren des Wartens in 2026 öffnet die ICANN wieder ein Bewerbungsfenster für dotBrands – eine gTLD mit einer Endung Ihrer Wahl. Diskutieren Sie mit uns die IT-Sicherheitsmöglichkeiten, die dieses eigenen Stück Internet für Ihre Marke schaffen kann.

Für unsere Kunden haben wir eine begrenzte Anzahl kostenfreier Tickets für den Cybersecurity Summit. Sprechen Sie uns gerne unter salesgermany@nameshield.net an.

Wir freuen uns, Sie auf unserem Stand zu begrüßen!

Susanne Neuber

Backorder oder ‘Wie man „first come, first served“ wird’

Wie geht man vor, wenn man an einem Domainnamen interessiert ist, der von einem Dritten gehalten wird? Um diesen möglichst sicher in das eigene Portfolio aufnehmen zu können, besteht eine erfolgsversprechende Möglichkeit darin, ihn sofort in dem Moment zu registrieren, in dem er wieder öffentlich verfügbar wird.

Der Besitz eines Domainnamens ist zeitlich befristet, die Besitzdauer liegt in der Regel zwischen ein und zehn Jahren. Er läuft ab, wenn sein Inhaber ihn nach Ablauf des Vertrags nicht verlängert, wodurch er nach dem Prinzip „wer zuerst kommt, mahlt zuerst“ wieder für einen anderen Inhaber zur Registrierung zur Verfügung steht.

Backorder – was genau ist das?

Wenn sich das Ablaufdatum der Registrierung eines Domainnamens nähert, wird der Inhaber von seiner Registrierungsstelle benachrichtigt, damit er eine Verlängerung vornehmen kann. Er kann dies bis zum Ende der Redemption Phase tun, dem Zeitraum nach dem Ablaufdatum des Domainnamens. Wenn der Registrant nichts unternimmt, folgt je nach Domainendung ein Zeitraum von fünf Tagen, der so genannte „Pending Delete“, in dem keine Maßnahmen ergriffen werden können.

Der Backorder(oder auch Snapback oder Nameback) ist ein Dienst, der es ermöglicht, eine Überwachung eines von einem Dritten registrierten Domainnamens einzurichten und im Falle der Aufgabe oder Nichtverlängerung des Domainnamens eine automatisierte Registrierung vorzunehmen. Die Registrierung kann bei bestimmten TLDs, bei denen eine Automatisierung nicht möglich ist, auch manuell erfolgen.

Das Ziel: der Schnellste sein!

Zwar kann die Information über die bevorstehende Löschung eines Domainnamens über das WHOIS abgerufen werden, und somit kann das Verfahren zur Wiedererlangung eines Domainnamens theoretisch auch manuell durchgeführt werden, doch ist dieser Vorgang für die wirklich attraktiven Domainnamen nicht erfolgsversprechend.

Diese Domainnamen werden oft von einer Vielzahl von Anbietern und Lösungen automatisch überwacht, um sie sofort (innerhalb von Sekunden) anzumelden, sobald sie wieder frei werden. Um solche Domainnamen zu gewinnen, müssen die eingesetzten Robots demnach sehr leistungsfähig sein und die Registrierungsstrategien müssen auf den überwachten Domainnamen zugeschnitten sein.

Es kann vorkommen, dass bei mehreren eingestellten Backorders Auktionen stattfinden und der Domainname dem Höchstbietenden zugeteilt wird.

Die Bestellung eines Backorders garantiert also nicht, dass der Domainname wiederhergestellt wird: Der Inhaber kann den Domainnamen bis zum Ende der Redemption Phase verlängern oder eine andere Lösung zur Registrierung kann schneller in der Einreichung sein.

Holen Sie sich Domainnamen automatisch über unseren Backorder-Dienst zurück

Die automatischen Wiederherstellungsroboter von Nameshield senden in immer kürzeren Abständen Warnungen, je nachdem, wie weit die Public Domain-Rückfallphasen für den überwachten Domainnamen fortgeschritten sind, um so früh wie möglich im Rahmen der Wiederherstellung aktiv werden zu können.

Je nach Art der TLD und des Domainnamens richtet Nameshield ein Multi-Request-System ein, um die Erfolgschancen zu vervielfachen, indem es seine automatisierten Abrufroboter mit externen Robotern kombiniert. Nameshield wählt je nach dem zu überwachenden Namen das am besten geeignete System aus.

Diese Leistung kann auch von Kunden abonniert werden, die über das Wiederverfügbarwerden eines Domainnamens informiert werden möchten, ohne ihn registrieren zu wollen.

Wenn Sie Unterstützung benötigen oder Fragen zum Thema Backorder haben, steht Ihnen Nameshield gerne zur Verfügung. Zögern Sie nicht, uns zu kontaktieren.

Die Überwachung des Wiederverfügbarwerdens eines Domainnamens ist hingegen keine Lösung für den Fall, dass ein Domainname Ihre Markenrechte verletzt. Lesen Sie in einem der nächsten Artikel, welche Möglichkeiten Ihnen zur Verfügung stehen, um die Registrierung eines Domainnamens anzufechten.

Frédérique BAJAT

Desinformation, IT-Sicherheit, Auswirkungen von KI im Mittelpunkt des Domain Pulse 2025

Nach Wien in Österreich war Dresden in Deutschland im Februar Gastgeber der Domain Pulse 2025. Die Veranstaltung, die in diesem Jahr von der deutschen Registry Denic organisiert wurde, hat sich als wichtigste Konferenz der Domainnamen- und Internetbranche im deutschsprachigen Raum etabliert. Auch die Neuauflage 2025 war wieder reich an Begegnungen und Informationen.

Der Domain Pulse, der von den Registries Denic, Nic AT und Switch initiiert wurde, fand dieses Jahr in den schönen Räumlichkeiten der Gläsernen Manufaktur in Dresden statt. Die Gläserne Manufaktur ist eine Automobilfabrik und ein Kulturzentrum, das dem Volkswagen-Konzern gehört. Dort werden Modelle von E-Autos ausgeliefert. 

An diesem Ort der Hochtechnologie war es das Wort „Cyberwar“, das den ersten Vormittag der Veranstaltung prägte. Ein hybrider Krieg, bei dem eine der Bedrohungen die Entwendung sensibler Daten ist. Wie der Hacker und Psychologe Linus Neumann erklärte, scheitert die Computersicherheit, weil „sie noch immer zu oft auf theoretischen Konzepten statt auf den Bedingungen der realen Welt basiert ist“. Und in der realen Welt wurden als prominente Beispiele Ukraine genannt, wo es bereits vor Ausbruch des Konflikts zu massiven Cyberangriffen kam. Spionage, aber auch ausländische Einmischungen in Wahlprozesse sind weitere Realitäten die genannt wurden. Was die Beeinträchtigung der Infrastruktur betrifft, waren die Teilnehmer amüsiert darüber, dass sogar Tiere zum Teil erhebliche Schäden verursachen. So hätten Eichhörnchen im Jahr 2024 in den USA 1252 Netzausfälle verursacht.

Der deutsche Netzpolitik-Aktivist und Journalist Markus Beckedahl warnte die Öffentlichkeit vor der industriemäßigen Verbreitung von Desinformation. Dieses Thema war ein weiterer wichtiger Punkt am ersten Tag. Die Beispiele Brexit sowie die Wahlen der Präsidenten Trump Im Jahr 2016 oder Bolsonaro in Brasilien im Jahr 2018 wurden als unerwartete Ereignisse angeführt, bei denen Desinformationen weitgehend versucht haben, über soziale Netzwerke die Entscheidungen der Wähler zu beeinflussen. Ein Thema, das ein besonderes Echo fand, da in Deutschland zehn Tage später Bundestagswahlen stattfanden. Die Wahlergebnisse der Rechtsextremen wurden mit Argusaugen beobachtet.

Die ICANN verwies auf die bevorstehende Gelegenheit der nächsten Runde neuer generischer Internet-Endungen, die im zweiten Quartal 2026 stattfinden wird und bei der insbesondere Unternehmen mit Markenrechten die Möglichkeit haben werden, neue .marken (oder .Brand) zu schaffen.

Am zweiten Tag des Domain Pulse war es die künstliche Intelligenz, die die Aufmerksamkeit der Teilnehmer auf sich zog. Andreas Dengel, Direktor des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI), berichtete in seiner Einführung über die Suche nach seinem Profil per ChatGPT. Er berichtete, dass er Ungenauigkeiten in seinen Veröffentlichungen festgestellt hatte.

Andreas Dengel au Domain Pulse 2025

Er erinnerte an eine offensichtliche, aber oft vergessene oder unterschätzte Tatsache: „Wenn die Ausgangsdaten unzuverlässig sind“, werden nicht die Algorithmen, die daraus ein Ergebnis extrahieren, Abhilfe schaffen.

Christian Stummeyer, Ökonom und Berater für Digitalisierung, KI und E-Commerce, schlug seinerseits vor, eine Zeitreise zu unternehmen, um festzustellen, wie sehr die Technologien unsere Gewohnheiten verändert haben, angefangen bei der Bildung von Paaren (ist hier « Partnersuche » gemeint ?). So nahmen im Jahr 2015 Online-Interaktionen einen Anteil von 31% in diesem Bereich ein, ein Anteil, der bis 2024 auf 61% angestiegen sein wird. In Bezug auf KI erinnerte er daran, dass einige KIs bereits schon 120 Punkte im Mensa-Test, einem renommierten Test der kognitiven Fähigkeiten in Norwegen, erreichen. Er wies darauf hin, dass KIs in diesem Stadium vor allem sozialliberal sind, da sie mehrheitlich im Silicon Valley entwickelt werden, dass diese Tendenzen aber von ihren Entwicklern z. B. in Richtung einer Form von Autoritarismus gelenkt werden können. Er war auch der Meinung, dass das Zeitalter des vorausschauenden Verkaufs nicht mehr weit entfernt ist: 2030.

Während diese beiden Tage eine erneute Reise in eine nicht allzu ferne Zeit ermöglichten, kommt man nicht umhin, darüber zu staunen, dass die ersten  .marke (Brand TLDs) bereits mehr als 10 Jahre in Betrieb sind.

April 2026 ist der Beginn des nächsten Fensters, in dem Sie Ihr Projekt für .marke mit Ihrer eigenen Endung einreichen können. Ein Werkzeug, das konkrete Antworten auf die Herausforderungen liefert, die anlässlich des Domain Pulse genannt wurden. Angesichts von Fehlinformationen, die die E-Reputation eines Unternehmens nachhaltig schädigen können, kann das Unternehmen seine Nutzer und Zielgruppen nämlich darauf aufmerksam machen, dass sein offizieller Informationskanal ausschließlich von einer Adresse wie group.marke stammt. In Bezug auf die Sicherheit ist es ein wichtiger Vorteil solcher Internet-Endungen, dass nur das Unternehmen, das die Marke besitzt, neue Adressen generieren kann, da dieser Namensraum nur ihr gewidmet ist, was bei anderen auf dem Markt existierenden Internet-Endungen nicht der Fall ist. So können sie sich vor bestimmten Angriffen schützen, die über irreführende und meist bösartige Internetadressen verübt werden. Dies sind nur einige Beispiele für die Vorteile einer .marke. Um ein solches Projekt erfolgreich durchzuführen und den größten Nutzen daraus zu ziehen, empfehlen wir Ihnen jedoch, sich von spezialisierten Unternehmen wie Nameshield GmbH begleiten zu lassen, die Erfahrung mit der Einführung neuer Internet-Endungen haben.

Ich kann es mir nicht verkneifen, mit einer kleinen Anekdote von meiner Rückfahrt aus Dresden zu schließen. In meinem Zug fiel das Computersystem bei der Abfahrt aus, so dass die Wagennummern nicht mehr angezeigt werden konnten. Vor der Abfahrt des Zuges hat der Zugbegleiter einige Reisende mit Papier, Filzstiften und Klebeband dazu gebracht, die Waggonnummern anzubringen. Eine Anekdote, die uns zeigt, dass Technologie nützlich ist, solange sie funktioniert.

Apple verschiebt seinen Zeitplan für die Kürzung der Gültigkeitsdauer von SSL/TLS-Zertifikaten um 6 Monate

Am 17. Oktober 2024 berichteten wir von der Bekanntmachung Apples, die maximale Gültigkeitsdauer öffentlicher SSL/TLS-Zertifikate bis 2027 schrittweise auf 45 Tage zu reduzieren.

Seitdem wurden neue Informationen zu diesem Thema veröffentlicht. Darunter eine neue Ankündigung von Apple, mit dem neuen Ziel den Zeitplan um sechs Monate zu verschieben und Zertifikate im März 2028 auf 47 Tage zu begrenzen:

  • 15. März 2026 => Zertifikatslaufzeiten und DCV-Validierung auf 200 Tage reduziert
  • 15. März 2027 => Zertifikatslaufzeiten und DCV-Validierung auf 100 Tage reduziert
  • 15. März 2028 => Zertifikatslaufzeit auf 47 Tage reduziert
  • 15. März 2028 => DCV-Validierungsdauer: 10 Tage

Das CA/B Forum hat sich seinerseits am 24. November 2024 des Themas angenommen, insbesondere mit dem Ziel, erste Schritte zur Organisation des Umgangs mit öffentlichen Kommentaren zu unternehmen.

Nameshield verfolgt weiterhin die aktuellen Entwicklungen und wird regelmäßig über das Thema berichten.

Treffen Sie das Nameshield Team in Köln auf den Mysecurity Days (19.-21. November)

Die Cybersecurity-Community trifft sich auf dem mySecurityEvent, das vom 19. bis 21. November 2024 im RheinEnergieStadion in Köln stattfindet, um für eine digital sichere Welt zu werben.

Wir freuen uns auf Ihren Besuch an Stand 12, um sich mit uns über die Kernthemen Domain- und DNS-Sicherheit auszutauschen und werden sicher auch wieder einige Plüsch-Pulpis im Gepäck haben.

Als Sponsor können wir außerdem einige Freitickets vergeben, geben Sie dafür einfach ‚Nameshield bei der Ticketbuchung auf mysecurityevent.de als Kontaktperson an.

Verkürzung der Laufzeit von SSL/TLS-Zertifikaten auf 45 Tage bis 2027: Apple macht den ersten Schritt

Am 9. Oktober teilte Apple dem CA/Browser Forum mit, dass es auf GitHub einen Entwurf für die Abstimmung über zwei wichtige Ereignisse in der Lebensdauer von SSL/TLS-Zertifikaten zur Kommentierung veröffentlicht hat:

  • Schrittweise Verkürzung der Höchstdauer öffentlicher SSL/TLS-Zertifikate auf 45 Tage bis 2027

  • Schrittweise Verkürzung der Wiederverwendungsfrist für DCV-Challenges auf 10 Tage bis 2027

Im März 2023 kündigte Google in seinem Fahrplan „Moving Forward, Together“ an, dem CA/B-Forum eine Verkürzung der maximal möglichen Gültigkeitsdauer für öffentliche TLS-Zertifikate von 398 Tagen auf 90 Tage anzubieten. Seit dieser Ankündigung wartet der Markt gespannt auf Googles Bestätigung, vor allem aber auf den Zeitplan für die Umsetzung… bisher ohne Erfolg. Mozilla seinerseits kündigte vor einigen Wochen an, dem Beispiel von Google bei seinem Firefox-Browser folgen zu wollen, ohne weitere Details zu nennen.

Apple hat nun den ersten Schritt getan und am 9. Oktober bekannt gegeben, zukünftig sowohl die Lebensdauer von Zertifikaten auf 45 Tage zu verkürzen (statt wie erwartet 90 Tage) als auch die Dauer der DCV-Challenges auf 10 Tage zu begrenzen, gemäß dem unten stehenden Zeitplan. Ein echter Paukenschlag:

  • Sep-15-2025 => Zertifikate und DCV-Validierungszeiten auf 200 Tage reduziert
  • Sep-15-2026 => Zertifikate und DCV-Validierungszeiten auf 100 Tage reduziert
  • Apr-15-2027 => Zertifikate und DCV-Validierungszeiten auf 45 Tage reduziert
  • Sep-15-2027 => DCV Validierungszeit: 10 Tage

Was steckt hinter der Entscheidung, welche Folgen hat sie und wie können Sie sich als Domaininhaber auf die Veränderungen vorbereiten?

Kontext und Analyse:

Im ersten Stadium wird die Veröffentlichung von den Marktteilnehmern kommentiert werden, bevor die formelle Abstimmung im CA/B-Forum erfolgt, über die wiederum die Mitglieder abstimmen: die Herausgeber von Internet-Browsern (Google, Mozilla, Apple und Microsoft…) einerseits und die Zertifizierungsstellen andererseits. Sicherlich wird es noch Änderungen geben, aber die Grundidee steht und der Prozess ist in Gang.

Die Softwarehersteller sind sich in der Tat einig, dass die Lebensdauer von Zertifikaten verkürzt werden muss. Unter den Zertifizierungsstellen unterstützt Sectigo, einer der wichtigsten Akteure in der Zertifikatsbranche, die Initiative bereits. Es ist davon auszugehen, dass die Dinge von nun an schnell voranschreiten werden und in den kommenden Wochen oder Monaten nur wenige Kommentare eingehen und ein Votum verfasst wird. Sobald wir mehr über die Bestätigung der Laufzeiten und des Zeitplans wissen, werden wir Sie natürlich informieren.

Erwartete Ergebnisse:

  • Lebensdauer von Zertifikaten: Ob 90 Tage, 45 Tage oder sogar weniger, diese Verkürzung ist keine Überraschung mehr und hat erhebliche Auswirkungen auf das Portfolio öffentlicher Zertifikate. Die Zertifikate können nicht mehr manuell verwaltet werden. Der Markt hat mit dem Übergang zur Automatisierung begonnen, insbesondere durch CLMs (Certificate Lifecycle Managers). Für Unternehmen und Organisationen wird es darauf ankommen, sich auf Partner zu verlassen, die so viele Verbindungen wie möglich zwischen Organisationen, Zertifizierungsstellen und CLMs anbieten können.
     
  • Dauer der DCV-Abfrage: Eine Verkürzung der Dauer der DCV-Abfrage auf 10 Tage hätte, sofern sie validiert wird, erhebliche Auswirkungen, vielleicht sogar mehr als eine Verkürzung der Lebensdauer von Zertifikaten. Bislang hat die Branche Domainnamen 398 Tage lang vorvalidiert und dabei nur einmal die DCV-Anforderung verwendet. Die Ankündigung von Apple würde somit die Verwendung einer DCV-Challenge für praktisch alle Bestellungen erzwingen, was einen großen Paradigmenwechsel darstellen und Verbindungen mit einem weiteren Baustein im Ökosystem mit sich bringen würde: dem DNS. Bei der DCV-Abfrage (Domain Control Validation) wird in die Zone des/der im Zertifikat aufgeführten Domainnamens/-namen eingegriffen, im Idealfall sofort, um das Zertifikat zu validieren.
     
  • Dauer der Organisationsauthentifizierung: Apple hat nichts zum Thema der Gültigkeitsdauer der Organisationsauthentifizierung für OV-Zertifikate bekannt gegeben, die derzeit 825 Tage beträgt. Es kursieren jedoch Gerüchte, dass diese auf 398 Tage oder sogar 365 Tage verkürzt werden könnte.

Was Sie bereits jetzt tun können:

Der Schlüssel zu einer erfolgreichen Zertifikatsverwaltung liegt in der Automatisierung. Eine Zertifikatslebensdauer von 45 Tagen entspricht 9 Eingriffen pro Jahr und Zertifikat. Eine manuelle Verwaltung wird damit utopisch. Wir empfehlen Ihnen folgende Lösungsbausteine:

  1. Zertifikatsanbieter/Zertifizierungsstelle (CA): ein vertrauenswürdiger Partner, der Sie bei Problemen mit der Authentifizierung in Ihrem Unternehmen und Ihrer Domain unterstützt. Das Dienstleistungsniveau ist der Schlüssel zu einem guten Management. Ein Multi-CA-Partner wird daher empfohlen, um die Abhängigkeit von einer einzigen CA zu begrenzen, wie im Falle der jüngsten Rückschläge von Entrust.
     
  2. Registrar/Primärer DNS: Die Beherrschung des primären DNS der in den Zertifikaten aufgeführten Domainnamen wird zum Schlüssel für die Zustellung. Jedes Mal, wenn ein Zertifikat ausgestellt wird, wird ein TXT oder CNAME in der/den betreffenden Zone(n) installiert. Eine Verbindung zwischen der CA und dem DNS ist unerlässlich.
     
  3. CLM-Editor: Der CLM hat die Aufgabe, das Zertifikatsportfolio zu inventarisieren, Regeln für die Verwaltung des Zertifikatsportfolios festzulegen und den gesamten Bestellprozess zu automatisieren, von der Erstellung von CSRs bis zum Einsatz von Zertifikaten auf Servern. Um ordnungsgemäß zu funktionieren, ist der CLM auf Verbindungen mit CAs oder Zertifikatslieferanten angewiesen.

Vorbereitung bedeutet also, die geeignetste Lösung auf der Grundlage dieser drei Dimensionen zu ermitteln und diese Analyse durchzuführen, um die Auswirkungen in Bezug auf Verfahren, Technologie und Budget – im Idealfall – vor Ende des ersten Halbjahres 2025 zu verstehen.

Der Ansatz von Nameshield:

Nameshield nimmt als Registrar und Anbieter von Multi-AC-Zertifikaten eine besondere Stellung auf dem Markt ein. Seit über 10 Jahren stellt die Authentifizierung von Organisationen und Domains mit Zertifikaten unser Tagesgeschäft dar. Einerseits haben wir eine enge Beziehung zu den größten CAs auf dem Markt (Digicert, Sectigo, GlobalSign), andererseits beherrschen wir den DNS-Brick für die DCV-Validierung. Infolgedessen können wir öffentliche Zertifikate fast sofort ausstellen. Nicht zuletzt verfügt Nameshield über Beziehungen zu den wichtigsten Akteuren auf dem CLM-Markt, so dass Sie eine umfassende Verbindung zwischen den verschiedenen an der Zertifikatsverwaltung beteiligten Parteien sicherstellen können. Auf diese Weise können wir Sie dabei unterstützen, sich gut auf die oben genannten Herausforderungen vorzubereiten.

Für weitere Informationen wenden Sie sich bitte an unser Verkaufsteam oder an unser Team für Zertifikate.

Abhängigkeit von Zertifizierungsstellen: ein unterschätztes Risiko?

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Einrichtung, die digitale Zertifikate ausstellt, um die Identität von Websites, Servern oder Benutzern zu authentifizieren und die Integrität der Daten zu gewährleisten, die bei der Online-Kommunikation ausgetauscht werden.

Wenn eine Website kein Zertifikat hat, kann sie keine sichere Verbindung über HTTPS herstellen, wodurch ihre Daten dem Risiko des Abfangens, der Veränderung und des Missbrauchs ausgesetzt sind. Aus diesem Grund legen die Internetbrowser der GAFAM (Google, Apple, Facebook, Amazon, Microsoft) diesen Zertifizierungsstellen strenge Compliance- und Sicherheitskriterien auf, um ihren Nutzern ein sicheres Surfen zu ermöglichen. Die GAFAM sind allerdings auch echte Imperien, die in der Lage sind, ihre eigenen Regeln in der digitalen Welt quasi willkürlich oder zumindest einseitig zu gestalten und zu definieren.

Die Zertifizierungsstellen sind demnach in gewisser Weise von den Standards der GAFAM abhängig, was Unternehmen dazu veranlassen sollte, sich nicht von einer einzigen Zertifizierungsstelle abhängig zu machen. Dies gilt umso mehr, als dass Zertifizierungsstellen mit Sicherheitslücken, Angriffen oder Vorfällen konfrontiert werden können, wie es bei der niederländischen Zertifizierungsstelle DigiNotar der Fall war, die nach einem massiven Hackerangriff im Jahr 2011 gezwungen war, ihre Tätigkeit einzustellen.

Die jüngste Zertifizierungsstelle, die mit Sicherheitsproblemen zu kämpfen hatte, ist Entrust. Google Chrome hat angekündigt, das Vertrauen in seine TLS-(SSL-)Zertifikate zum 31. Oktober 2024 zu beenden und erklärt, dass diese Entscheidung aufgrund einer gründlichen Bewertung der Sicherheitspraktiken der Zertifizierungsstelle folgt. Bedenken gab es beispielweise in Bezug auf die Einhaltung der geforderten strengen Standards: zu lange Widerrufsfristen, wiederholte Schwachstellen und Risiken für die Nutzer… Die Chrome-Versionen 127 und höher werden voraussichtlich im Oktober die automatische Genehmigung der von Entrust ausgestellten TLS/SSL-Zertifikate deaktivieren. Auf Unternehmenswebsites, die deren Zertifikate verwenden, werden vermutlich Sicherheitswarnungen in Google Chrome angezeigt, die darauf hinweisen, dass die Website nicht sicher ist, oder die Erreichbarkeit der Seite wird eingeschränkt.

Entrust ist natürlich kein Einzelfall. Symantec geriet 2015 wegen der Ausstellung ungültiger TLS-Zertifikate mit Google in Schwierigkeiten. Die Zertifizierungsstelle war damals für 30% der Zertifikate im Web verantwortlich und verzeichnete Einnahmen von 400 Millionen US-Dollar, wie das Medium silicon.fr berichtete. Google hat die Symantec-Zertifikate jedoch nach und nach aus Chrome und Android verbannt. Die Entität wurde schließlich 2021 an Digicert weiterverkauft.

Zertifizierungsstellen arbeiten eng mit dem CAB Forum und den GAFAM zusammen, um die Standards für Cybersicherheit zu erhöhen und ihre Sicherheitspraktiken und -protokolle zu verbessern. Es ist unbestreitbar, dass in diesem Bereich enorme Fortschritte bei der Erhöhung der Sicherheitsstandards gemacht wurden. Der jüngste Vorfall mit Entrust zeigt jedoch die Risiken auf, die angesichts der Souveränität und des beispiellosen Einflusses der GAFAM bestehen bleiben: Niemand ist vor potenziell willkürlichen Entscheidungen dieser Technologieriesen sicher.

Angesichts dieser Schwachstellen raten wir Unternehmen zu einem Ansatz mit mehreren Zertifizierungsstellen, die bei einem spezialisierten Anbieter verwaltet werden. Durch die Diversifizierung der Zertifizierungsstellen können Unternehmen das Risiko der Abhängigkeit von einem Ausfall oder einem massiven Widerruf von Zertifikaten verringern und so ihren Fortbestand sicherstellen. Die zentrale Verwaltung von Zertifikaten bei einem vertrauenswürdigen Spezialisten wie Nameshield ermöglicht es zudem, Verfahren zu standardisieren, die Verwaltung von Verlängerungen oder die Umstellung von Zertifikaten von einer Zertifizierungsstelle auf eine andere zu vereinfachen und so mehr Flexibilität zu bieten. Die Verwaltung der Zertifikate durch eine spezialisierte Stelle ist eine Möglichkeit, die Kontinuität der Online-Dienste zu gewährleisten, Risiken zu reduzieren und die Ausgaben für Cybersicherheit angesichts einer sich ständig ändernden Bedrohungslage zu optimieren.

Insgesamt ist die Abhängigkeit von den Zertifizierungsstellen ein Risiko, das sich sowohl finanziell als auch in Bezug auf den Ruf als kostspielig erweisen kann. Um die Sicherheit und Widerstandsfähigkeit der digitalen Infrastruktur zu gewährleisten, kann eine Multi-Zertifizierungsstellen-Strategie ein wichtiger Schutz vor unvorhergesehenen Cyberbedrohungen sein.

Bildquelle : Unsplash

Nameshield auf der Public IT Security (PITS) – 12. und 13. Juni 2024 in Berlin

Besuchen Sie uns auf der Public IT Security (PITS) am 12. und 13. Juni 2024 im Hotel Adlon in Berlin. Die PITS ist die führende Veranstaltung für IT-Fachleute im öffentlichen Sektors.

Dieses Jahr ist die Messe ganz dem Thema „Security Performance Management“ gewidmet. Der aktuelle Bericht der ENISA – Agentur der Europäischen Union für Cybersicherheit –zur Bedrohungslandschaft im Bereich der Cybersicherheit klassifiziert u.a.

  • DDoS-Attacken
  • Ransomware & Malware
  • Phishing, Desinformation

als derzeit bedeutsamste Bedrohungen.

In Reaktion auf diese Bedrohungen treten zeitnah umfassende EU-Richtlinien zur Online-Sicherheit in Kraft: die NIS2 im Oktober 2024, DORA im Januar 2025, RED im August 2025 und den AI Act Mitte 2026.

Angesichts des bedrohlichen Cyberkontexts und der rechtlichen Lage ist es für Unternehmen und öffentliche Verwaltungen unumgänglich geworden, sich online zu schützen und die Einhaltung der EU-Vorschriften sicher zu stellen. Wie kann dabei vorgegangen werden?

Cybersicherheit fängt bei der Domain an: Webseiten, Apps, Emails, VPN, SSO sind vom vulnerablen Domain Name System (DNS) abhängig. Die Nichterreichbarkeit strategischer Domains hat schwerwiegende Folgen für Unternehmen und Verwaltungen. Die Wahl eines professionellen B2B-Domain-Registrars mit eigenem CERT und erhöhter DNS Sicherheits-Einstellungen wie DNSSEC, DDoS-Filterung, Failover, Anycast Infrastruktur, Verwaltung Sub- und Reverse-Zonen, DMARC, ständiges Monitoring mit Alerts ist in der aktuellen Situation wichtiger denn je.

Nameshield präsentiert auf der PITS 2024 sein umfassendes Angebot als führender Dienstleister für die öffentliche Verwaltung im EU-Nachbarland Frankreich erstmals dem deutschen Publikum. Lernen Sie an unserem Stand (Standfläche 9), wie Nameshield die Sicherheit und Verfügbarkeit der Webpräsenz strategisch hochrelevanter öffentlicher Einrichtungen wie dem Elysée-Palast, der Nationalen Sicherheitsagentur für Informationssysteme (ANSSI, Partner vom BSI), dem Ministerium für Bildung und Hochschulen, sowie von www.paris.fr sicherstellt.

Auf der Veranstaltung treffen sich IT-Verantwortliche aus verschiedenen Organisationen, Behörden, Unternehmen und der Wissenschaft, um sich über neue Trends und Strategien im Bereich der IT-Sicherheit auszutauschen. Seit über einem Jahrzehnt ist PITS eine zentrale Plattform für den Wissensaustausch und die Diskussion über aktuelle Entwicklungen im Bereich der Cybersicherheit. Vereinbaren Sie bereits jetzt einen Termin mit Ihrem Nameshield-Berater vor Ort!

Treffen Sie unser Team an Standfläche 9 und tauschen Sie sich über bewährte Verfahren zum Schutz und zur Verwaltung von Domainnamen im öffentlichen Sektor aus.

Weitere Informationen finden Sie auf der Website der Veranstaltung: https://www.public-it-security.de/

Das Vertrauen der Nutzer im Mittelpunkt – Highlights des CSA E-Mail Summits 2024 in Köln

In Köln fand vom 22. bis 24. April der Certified Senders Alliance Summit zum Thema „Trust fuels the future » statt. Und es gab Grund zum Feiern: bereits seit 20 Jahren hat sich die Initiative das Thema sichere E-Mail auf die Fahnen geschrieben

Die Unternehmenskommunikation hat sich in den letzten 20 Jahren mit dem Aufstieg der sozialen Netzwerke stark verändert: Instagram hat heute monatlich insgesamt mehr als 2 Milliarden Nutzer, YouTube mehr als 2,5 Milliarden und Facebook mehr als 3 Milliarden. Obwohl diese Plattformen weitgehend in die Kommunikationsstrukturen der Unternehmen integriert sind, ist die Nutzung von E-Mails zur Kundenkommunikation nach wie vor von hoher Relevanz – unter anderem aufgrund der Vielfältigkeit ihrer Einsatzgebiete wie z.B. Versand von Mailings, Newslettern, Rechnungen oder auch Auftragsbestätigungen . Daten von Statista zeigen einen Anstieg des Gesamtvolumens an E-Mails um 4,3 % im Jahr 2023 im Vergleich zum Vorjahr mit fast 347,3 Milliarden E-Mails, die täglich weltweit verschickt werden. Ein weiterer Fakt ist, dass eine Person im Durchschnitt etwa 121 E-Mails pro Tag erhält; eines scheint sicher: Die E-Mail wird nicht so schnell verschwinden.

Gartner weist jedoch darauf hin, dass die Sorge um die Sicherheit von E-Mails zunimmt, da kaum ein Unternehmen von Sicherheitsvorfällen verschont bleibt. Phishing-Attacken durch bösartige Links oder Anhänge werden immer ausgefeilter und verursachen Daten- und Umsatzverluste. Ausgehend von dieser Feststellung bringt die CSA jedes Jahr Experten des E-Mail-Ökosystems zusammen, um sich über bewährte Verfahren und Lösungen auszutauschen, welche die Qualität des Kanals verbessern und so das Vertrauen auf Kundenseite in die E-Mail verbessern. Die Veranstaltung ist um eine Reihe von Workshops, Sessions, Konferenzen und Masterclasses herum organisiert.

Nameshield war als Gold-Sponsor auf der Jubiläumsausgabe des CSA Email Summits dabei. Im Rahmen ihres Workshops im DNS TRACK stellten unsere Experten Joëlle Samaké und Arnaud Witterheim heraus, dass es keine E-Mail-Sicherheit ohne sichere Domainnamen und eine robuste und leistungsfähige DNS-Infrastruktur gibt. Die Sicherheit von E-Mails hängt daher von der Wahl des Domainnamenanbieters und den Cybersicherheitslösungen ab, die er seinen Kunden anbieten kann. Dazu zählt der Einsatz des DMARC-Protokolls, das die Nutzer vor betrügerischen E-Mails schützt. Die personalisierten Marken-Top Level Domains, die sogenannten Dot Brands, sind ein weiterer Hebel, um im Hinblick auf die nächste Runde neuer generischer Domainendungen, die für April 2026 geplant ist, Vertrauen in die eigene Marke zu schaffen.

Für weitere Informationen zu unseren Lösungen wenden Sie sich bitte an Ihren Nameshield-Berater.