01.12.2021 | André Clerc, Nishanthan Sithampary
Die Eleganz von Let's Encrypt in einer internen PKI
Welcher Administrator kennt das nicht? Ein ablaufendes TLS-Zertifikat reisst eine wichtige Applikation runter und legt im schlimmsten Fall wichtige Dienste flächendeckend lahm. Die Fehleranalyse erweist sich als schwierig und zeitaufwändig, da Fehlermeldungen in Logs wie «Unable to connect to server» oder «Service unreachable» nicht viel über die eigentliche Fehlerursache aussagen. Erst nach mühsamer Fehleranalyse finden die Beteiligten heraus, dass ein internes TLS-Zertifikat abgelaufen ist – ärgerlich, da dies vermeidbar gewesen wäre. Die Erneuerung eines abgelaufenen TLS-Zertifikats ist meist ein manueller Prozess und kann je nach Verfügbarkeit des PKI-Teams etwas Zeit beanspruchen, weshalb die Ausfälle gern auch mal länger dauern. Solche vermeidbaren Ausfälle können je nach Service hohe Schäden (in Bezug auf Sachen oder Personen) verursachen. Doch wer trägt die Verantwortung und kommt gegebenenfalls für entstandene Schäden auf? Oder besser gefragt: Wie können solche Ausfälle künftig verhindert werden?
In der Praxis werden interne TLS-Zertifikate meistens für 1 bis 3 Jahre ausgestellt und müssen regelmässig erneuert werden. In den letzten Jahren wurden die Laufzeiten der öffentlichen Zertifikate im Internet auf Druck der grossen Browser-Hersteller (Apple, Mozilla und Google) schrittweise gesenkt. Apple gab als erster Browser-Hersteller bekannt, dass sie im Safari-Browser nur noch TLS-Zertifikate mit einer maximalen Lebensdauer von 397 Tagen akzeptieren werden. Die verkürzte Lebensdauer der TLS-Zertifikate soll vor allem den Missbrauch eindämmen, falls TLS-Zertifikate kompromittiert sind und revoziert werden müssten. Die Revozierung ist ein Prozess, der sauber implementiert sein sollte. Die Realität sieht jedoch oftmals anders aus: Revozierungsprozesse werden nur partiell oder nicht korrekt umgesetzt. Die elegante Lösung mit den kurzlebigen Zertifikaten kompensiert dieses Versäumnis teilweise. Dennoch darf der Revozierungsprozess nicht ausser Acht gelassen werden.
Mittlerweile stellen öffentliche Zertifizierungsstellen wie beispielsweise SwissSign oder DigiCert nur noch TLS-Zertifikate mit einer maximalen Gültigkeitsdauer von 13 Monaten (397 Tage) aus. Diese Praxis hat sich auch in internen Unternehmens- oder IoT-PKIs etabliert, mit steigendem Risiko für ablaufende Zertifikate. Das Ablaufen von TLS-Zertifikaten ist jedoch durchaus sinnvoll, weil dadurch die regelmässige Überprüfung der Domänenzugehörigkeit sichergestellt und Altlasten bereinigt werden. Den mit dem Ablaufen von Zertifikaten zusammenhängenden Risiken kann mit einem sauberen Revozierungsprozess begegnet werden. Dieser erzwingt bei einer möglichen Kompromittierung von kryptographischen Algorithmen und insbesondere deren Implementationen auch den Ersatz von Schlüsselmaterial. So wird sichergestellt, dass der gewählte Security-Level beibehalten wird und nicht absinkt.
Die regelmässige Erneuerung der Zertifikate setzt einen sauberen PKI-Betrieb sowie gut implementierte und automatisierte Prozesse voraus. Dabei helfen moderne Schnittstellen (z. B. ACME , EST , REST etc.), die Automatisierung der Zertifikatserneuerung auch in einer internen Unternehmens- oder IoT-PKI umzusetzen. Let’s Encrypt macht vor, wie die automatisierte, regelmässige Erneuerung von Zertifikaten mit ACME im Internet möglich ist. Doch wie können diese Technologien unternehmensweit genutzt werden?
Eine Lösung sind moderne Zertifikatsmanagementsysteme, die unter anderem die automatisierte Erneuerung, aber auch die kompletten Lifecycle-Prozesse für Zertifikate abdecken. Mit der Einführung eines Zertifikatsmanagementsystems allein ist es aber nicht getan. Vielmehr ist ein umfassendes PKI-Konzept notwendig, das unter anderem die folgenden Punkte abdeckt:
- Evaluation einer geeigneten PKI-Software sowie eines Zertifikatsmanagementsystems
- Definition der notwendigen Managementprozesse, insbesondere auch der automatischen Erneuerungsprozesse
- Auslösen von zeitgerechten Erneuerungsnotifikationen mittels Tickets/E-Mails an Zertifikatsbesitzer (Subscriber)
- Definition von Eskalationsstufen gegenüber Zertifikatsbesitzern (Subscriber), PKI-Team, Operation-Team etc.
- Automatisiertes Testing der PKI-Schnittstellen
- Geeignetes Logging, Monitoring und Alerting der gesamten PKI-Umgebung
Fazit
Nahezu überall sind ablaufende TLS-Zertifikate im Umlauf, die nach einer vorgesehenen Zeit zu erneuern sind. Die Erneuerung schlägt jedoch leider zu oft fehl, was zu schwerwiegenden Ausfällen führen kann. Dies könnte eigentlich verhindert werden. Ein ganzheitliches PKI-Konzept, eine saubere Umsetzung von Lifecycle-Prozessen, ein hoher Automatisierungsgrad und die Einführung eines Zertifikatsmanagementsystems können schwerwiegende und flächendeckende Ausfälle aufgrund ablaufender Zertifikate verhindern.
PKI-Strategien zu entwickeln und neue und moderne PKI-Umgebungen zu konzipieren ist eines der Spezialgebiete der TEMET AG. Gern unterstützen wir Sie auch bei der Implementierung eines PKI-Konzepts.
Public Key Infrastructure (PKI)