Dean Coclin CISSP, Vorsitzender des CA/Browser Forums, und Jeff Barto, CSMIE, haben gemeinsam die neuesten Trends und Entwicklungen aus dem SSL-,TLS- und S/MIME-Bereich in einem Webinar von DigiCert vorgestellt. Neben der Forderung nach einer automatisierten Zertifikatsausstellung wurde außerdem erläutert, warum Certificate Pinning unbedingt vermieden werden sollte.
Immer mehr Websites sind verschlüsselt
Die Anzahl verschlüsselter Websites ist laut DigiCert in den vergangenen drei Jahren immens gestiegen. Allein zwischen 2019 und 2020 wurden über 30 Mio. Zertifikate ausgestellt.
Inzwischen seien 90 % der Websites verschlüsselt und für das zweite Halbjahr 2020 sowie 2021 erwartet DigiCert weiteres Wachstum.
Nach dem zweiten Quartal 2020 waren weltweit über 86,6 Mio Zertifikate ausgestellt. Im ersten Halbjahr 2020 konnte DigiCert 3,2 Mio. neue Zertifikate ausstellen. Im Jahresvergleich (August 2019 bis August 2020) wurden weltweit 9 Mio. Zertifikate ausgestellt.
Notwendigkeit der Automatisierung
Die meistgenutzten Browser, darunter Apple Safari, Google Chrome und Mozilla Firefox, haben sich für die Verkürzung von Zertifikatslaufzeiten ausgesprochen. In diesem Jahr wurde die Gültigkeit bereits von zwei Jahren auf ein Jahr gesenkt. In der Diskussion sind nun Laufzeiten von sechs und drei Monaten. Eine Automatisierung der Verarbeitung, Authentifizierung und Ausstellung wird erforderlich werden und für diese Services bedarf es laut Coclin und Barto einer Regelkonformität.
Auf Seite der Website-Betreiber gewinnt die automatisierte Einbindung von Zertifikaten an Bedeutung. So können Zeit und Ressourcen eingespart werden, die durch die Laufzeitverkürzung sehr viel häufiger anfallen als zuvor.
S/MIME-Arbeitsgruppe im CA/B-Forum
Im CA/B-Forum für S/MIME wurde eine neue Arbeitsgruppe eingerichtet. Die Gruppe, bestehend aus 25 Zertifizierungsstellen sowie Antragstellern, Interessenten und assoziierten Mitgliedern, sieht ihre erste Aufgabe in der Erstellung eines Zertifikatsprofils.
Die S/MIME-Gruppe recherchiert zu diesem Zweck weltweit aktuelle S/MIME-Profile und analysiert die Anwendungsfälle. An einer Teilnahme Interessierte können sich auf der Website des CA/B-Forums informieren.
Vorsicht beim Certificate Pinning
DigiCert wies in dem Webinar nochmal ausdrücklich auf die Gefahren des Certificate Pinnings hin: Das “Anheften” von Zertifikaten, berge bei verkehrter Einbindung viele Risiken.
Durch das Certificate Pinning sollte beschränkt werden, welche Zertifikate für eine bestimmte Website als gültig betrachtet werden, um das Sicherheitsrisiko zu begrenzen Das Pinning hat allerdings gegenteilig Sicherheitslücken freigelegt.
Wegen der Schwierigkeiten bei der sicheren Umsetzung von Pinning gab es extrem viele Fälle, in denen Websites geschädigt statt geschützt wurden. Wird das Pinning falsch umgesetzt, kann z. B. der Zugang zur eigenen Website blockiert werden.
Verifizierte Markenzeichen-Zertifikate
Coclin sprach weiterhin über das Pilotprogramm für Verified Mark Certificates (VMCs), eine interessante neue Form der E-Mail-Security mit Logo-Verifizierung. Das neue Zertifikat wird aktuell von mehreren großen E-Mail-Anbietern getestet.
VMCs ermöglichen es Unternehmen, ihr Logo neben dem Absender-Feld in E-Mail-Clients anzeigen zu lassen. So kann dem Empfänger direkt suggeriert werden, dass es sich um einen sicheren Absender handelt.
Das verifizierte Logo wird angezeigt, bevor die Nachricht geöffnet wird. Mit den VMCs entsteht eine einheitliche, authentifizierte und visuell attraktive E-Mail-Kommunikation für Unternehmen.
Du hast Fragen zu den aktuellsten TLS- und SSL-Trends? Dein Partner Manager hilft dir gern weiter.
