Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem Apple das Thema zur Abstimmung unter den Mitgliedern des Certification Authority Browser Forum (CA/B Forum) stellt, macht das Unternehmen deutlich, dass es beabsichtigt, in die Fußstapfen von Google zu treten.
Von Kevin Bocek, Chief Innovation Officer bei Venafi, einem Unternehmen von CyberArk.
Die Ausweitung dieses Vorhabens auf die gesamte Community könnte noch größere Auswirkungen haben als die von Google vorgeschlagenen Änderungen an Chrome. Mit dem Vorschlag, die Lebensdauer von Zertifikaten bis 2027 auf 45 Tage zu verkürzen, geht Apple sogar noch einen Schritt weiter, denn der Trend zu immer kürzeren Laufzeiten wird sich fortsetzen.
Selbst wenn die Abstimmung scheitert, können diese großen Unternehmen die Gemeinschaft zwingen, ihre eigenen Browserregeln zu aktualisieren - wie sie es in der Vergangenheit getan haben. Daher müssen die Unternehmen sicherstellen, dass sie auf die Änderungen vorbereitet sind. Jüngste Untersuchungen zeigen jedoch, dass dies bei vielen nicht der Fall ist.
Auf eine kürzlich durchgeführte Umfrage zum Vorschlag von Google, die Lebensdauer von Zertifikaten auf 90 Tage zu verkürzen, waren 81 Prozent der Sicherheits-Verantwortlichen der Meinung, dass dies die bestehenden Probleme bei der Verwaltung von Zertifikaten noch verschärfen würde, wobei fast drei Viertel (73%) sagten, dass dies zu einem „Chaos“ führen könnte, und weitere 75 Prozent meinten, dass dies sogar die Sicherheit beeinträchtigen könnte.
Beunruhigend genug glauben 77 Prozent, dass weitere Ausfälle „unvermeidlich“ sind. Da Apple plant, die Lebensdauer von Zertifikaten zu halbieren, könnten die Dinge noch chaotischer werden.
Einer der Gründe, warum so viele Unternehmen beunruhigt sind, ist, dass sie nicht über die richtigen Tools und Ressourcen verfügen, um ihre Maschinenidentitäten in großem Umfang zu verwalten. Nur acht Prozent der Unternehmen haben alle Aspekte der TLS-Zertifikatsverwaltung im gesamten Unternehmen vollständig automatisiert, wobei sich fast ein Drittel (29%) immer noch auf eigene Software und Tabellenkalkulationen verlässt, um das Problem zu lösen.
Infolgedessen benötigen Unternehmen 2-3 Arbeitstage (21 ¾ Stunden), um ein Zertifikat manuell bereitzustellen. Eine Verkürzung der Lebensdauer von 365 Tagen auf 90 Tage würde den Aufwand für die Verwaltung von Zertifikaten während ihrer gesamten Lebensdauer verfünffachen - eine weitere Verkürzung auf 45 Tage würde eine Verzehnfachung gegenüber dem heutigen Stand bedeuten.
Nachdem wir kürzlich mit CrowdStrike einen der größten IT-Ausfälle in der Geschichte erlebt haben, sind sich die Sicherheitsteams der Risiken bewusst, die mit häufigeren Ausfällen einhergehen. Die Verkürzung der Lebenszyklen von Zertifikaten trägt zwar zur Verringerung einiger Risiken bei und ist ein Schritt in die richtige Richtung, bringt aber auch zusätzliche Komplexität für Sicherheitsteams mit sich.
Wir haben es hier nicht nur mit kleinen roten Fähnchen zu tun - wir sehen überall Probleme, von der Cloud bis hin zu virtuellen Maschinen und Kubernetes-Clustern. Es ist nicht nur das Problem eines einzelnen Anbieters, sondern das gesamte Internet steht auf dem Spiel. Die gute Nachricht ist, dass dieses Problem lösbar ist. Sicherheitsteams können jetzt Certificate Lifecycle Management (CLM), PKI-as-a-Service und Workload-Identitätsaussteller auf einer Steuerungsebene zusammenbringen.