Misstraut Google zusätzlichen Zertifizierungsstellen?
16. April 2018Obwohl IT-Sicherheitsexperten durch zukünftige CA-Vorfälle beunruhigt sind, verfügen nur sehr wenige über die erforderlichen Tools, um Zertifikate von CAs schnell zu wechseln. Beispielsweise glauben nur fünfzehn Prozent der Befragten, dass die Entscheidung von Google, Symantec-Zertifikaten zu misstrauen, ein einmaliges Ereignis ist. Wenn sie jedoch von einem großen CA-Ereignis betroffen wären, gaben nur 23 Prozent an, dass sie alle betroffenen Zertifikate schnell finden und ersetzen könnten.
„CAs haben eine sehr schwierige Aufgabe und sie haben mit vielen Komplexitäten zu kämpfen, die sich ihrer Kontrolle entziehen“, sagt Mike Dodson, Global Head of Solution Architects bei Venafi. „Jede CA ist Risiken ausgesetzt, und CA-Kompromittierungen und Fehler können dazu führen, dass Unternehmen in kurzer Zeit viele Zertifikate finden und ersetzen müssen. Unternehmen brauchen mehr Kontrolle über die CAs, denen sie vertrauen, aber sie müssen auch anerkennen, dass sie nie die volle Kontrolle haben werden. Browser spielen beispielsweise eine große Rolle, wenn es darum geht, wie wir CAs vertrauen. Chrome und Mozilla haben kürzlich beschlossen, den von Symantec ausgestellten Zertifikaten nicht mehr zu vertrauen, und jetzt müssen viele Unternehmen diese Zertifikate vor Ablauf einer bestimmten Frist ersetzen.“
Weitere Ergebnisse deuten darauf hin, dass Sicherheitsexperten ihre Fähigkeit, auf einen CA-Vorfall zu reagieren, zu hoch einschätzen:
• 81 Prozent der Befragten sind besorgt über zukünftige Vorfälle mit CAs.
• 61 Prozent der Befragten geben an, über einen Plan zu verfügen, der es ihnen ermöglichen würde, alle Symantec-Zertifikate bis zu den nächsten Terminen zu ersetzen, aber nur 58 Prozent verfügen über eine genaue Liste, die die IP-Adressen aller Geräte enthält, auf denen Zertifikate installiert wurden und die mit einem Symantec-Root verknüpft sind.
• Fast zwei Drittel (62 Prozent) sind zuversichtlich, dass sie keine Zertifikate von nicht autorisierten CAs haben, aber nur die Hälfte hat Kontrollen, um dies zu erkennen.
• 74 Prozent glauben, dass sie alle von einem CA-Kompromiss betroffenen Zertifikate schnell finden und ersetzen können, aber nur 8 Prozent verfügen über automatisierte Prozesse.
Im vergangenen Jahr haben Forscher von Google entschieden, dass Symantec und ihre angeschlossenen CAs viele TLS-Zertifikate (Transport Layer Security) falsch ausgestellt haben. Daher kündigten Chrome-Forscher einen offiziellen Plan an, um das Vertrauen in die von Symantec ausgestellten Zertifikate zu entziehen. Stabile Releases soll es dann für Chrome 66 ab dem 17. April 2018 und für Chrome 70 ab dem 16. Oktober 2018 geben. (rhh)
Hier geht es zu Venafi