svetazi - stock.adobe.com
So kann man Probleme mit Zertifikatsketten vermeiden
Zertifikaten kommt bei der Absicherung von Diensten, Websites und APIs eine große Bedeutung zu. Ein einziger Fehler in der Vertrauenskette kann erhebliche Folgen verursachen.
Eine Public-Key-Infrastruktur (PKI) unterstützt eine Reihe von sicherheitsbezogenen Diensten, darunter Datenvertraulichkeit, Datenintegrität und Endbenutzer-Authentifizierung. Grundsätzlich basieren Maschinenidentitäten auf der ordnungsgemäßen Verwendung von öffentlichen und privaten Schlüsselpaaren.
Sie werden für Webseiten, zum Authentifizieren von Containern, zum Authentifizieren von APIs, zum Verschlüsseln zwischen mobilen Geräten und Servern für den Datenschutz oder zum Signieren von Code vor der Installation auf dem Computer verwendet.
Die öffentliche Komponente dieses Schlüsselpaares wird in Form eines öffentlichen Schlüsselzertifikats ausgegeben und kann in Verbindung mit dem/den entsprechenden Algorithmus/en zur Verifizierung einer digitalen Signatur, zur Verschlüsselung von Daten oder zu beidem verwendet werden.
Ein öffentliches Schlüsselzertifikat ist eine signierte Erklärung, die verwendet wird, um eine Verbindung zwischen einer Identität und einem öffentlichen Schlüssel herzustellen. Um die Identität und den öffentlichen Schlüssel in Verbindung zu bringen, wird eine Chain of Trust verwendet.
Das ist eine Liste von Zertifikaten, die in der Regel mit einem End-Entity-Zertifikat beginnt, gefolgt von einem oder mehreren Zwischenzertifikaten, wobei das letzte Zertifikat in der Liste, Root-Zertifikat genannt, als Vertrauensanker dient: ein Zertifikat, dem vertraut wird, weil es durch ein vertrauenswürdiges Verfahren zugestellt wurde. Das Root-Zertifikat, auch als Root of Trust bezeichnet, steht im Mittelpunkt des Vertrauensmodells, das die PKI sichert.
Root-Zertifikate werden von Zertifizierungsstellen (Certification Authorities, CA) ausgestellt, das heißt von Unternehmen oder Regierungsbehörden, die von Browsern autorisiert wurden, TLS/SSL- und Code-Signing-Zertifikate auszustellen.
Um die Vertrauenswürdigkeit von CAs und ihren Root-Zertifikaten durchzusetzen, unterziehen sich diese Organisationen jährlichen Prüfungen durch Dritte, um sicherzustellen, dass sie die Regeln für die ordnungsgemäße Prüfung, Ausstellung und Sperrung von Zertifikaten gemäß den vom CA/Browser-Forum (kurz CA/B-Forum) herausgegebenen Vor-Ort-Richtlinien einhalten.
Unternehmen arbeiten darüber hinaus auch mit eigenen CAs, die die gleichen Probleme haben, wie die öffentlichen Zertifizierungsstellen, wenn die Zertifikate nicht rechtzeitig ausgetauscht werden. Natürlich gibt es eine Hierarchie zwischen den verschiedenen CAs. Sie ist aufgebaut wie eine Vertrauenskette (Chain-of-Trust). Wenn sich hier ein Fehler einschleicht, dann führt es zu einem Ausfall von Services oder Systemen. Ein einziger Fehler genügt und nichts funktioniert mehr.
Mangel an Automatisierung führt zu Ausfällen
Trotz aller von dieser Organisation eingerichteten Mechanismen zur Einhaltung der Vorschriften und zur Prüfung gibt es Vorfälle, bei denen etwas schief läuft. Unternehmen vergessen dann, abgelaufene Zertifikate auszutauschen, die Folge ist dann, dass Webservices ausfallen. Bei Equifax wurde das Bedrohungsinspektionssystem nicht mit den aktuellen Schlüsseln und Zertifikaten aktualisiert, was im Wesentlichen einen Ausfall bedeutet.
In diesen Fällen sehen die Browser nichts Falsches an den Zertifikaten, weil die CA in einer guten Position zu sein scheint und den Benutzern den Eindruck vermittelt, dass die Website, die sie besuchen, authentisch und ihre Verbindung sicher ist.
Eines der Probleme besteht darin, dass es derzeit keine einfache oder effektive Möglichkeit gibt, TLS/SSL-Zertifikate in Echtzeit zu prüfen oder zu überwachen, so dass bei solchen Fehltritten (ob böswillig oder nicht) die verdächtigen Zertifikate in der Regel wochen- oder gar monatelang nicht entdeckt und widerrufen werden.
Darüber hinaus treten diese Arten von TLS/SSL-Fehler immer häufiger auf. In den letzten Jahren gab es zahlreiche Zwischenfälle, in denen falsch ausgestellte Zertifikate dazu verwendet wurden, legitime Websites zu täuschen und in einigen Fällen bösartige Software zu installieren oder ahnungslose Benutzer auszuspionieren.
„In den letzten Jahren gab es zahlreiche Zwischenfälle, in denen falsch ausgestellte Zertifikate dazu verwendet wurden, legitime Websites zu täuschen und in einigen Fällen bösartige Software zu installieren.“
Kevin Bocek, Venafi
Um es zu lösen, muss Transparenz hergestellt werden. Letztlich muss das Netzwerk gescannt werden, die CAs müssen überwacht werden. Darüber hinaus müssen Integrationen mit Applikationen, Load Balancern, Betriebssystemen und anderen hergestellt werden. Dies gilt auch für die Chain-of-Trust. Letztlich sollte alles sauber miteinander zusammenarbeiten. Am Ende ist es Kryptographie, wie bereits oben erwähnt reicht hier ein Fehler für einen Totalausfall aus.
Beispiele aus der Praxis
Let’s Encrypt widerruft 3 Mio. Zertifikate. Anfang des Jahres 2020 musste Let's Encrypt, eine gemeinnützige Organisation, mehr als drei Millionen ihrer digitalen Zertifikate widerrufen, nachdem sie einen Fehler in der Art und Weise entdeckt hatte, wie sie ausgestellt wurden. Domänenbesitzer mit betroffenen Let's Encrypt TLS-Zertifikaten, die diese nicht erneuern, liefen Gefahr, dass ihre Websites für Benutzer unzugänglich wurden, nachdem die Zertifikate widerrufen wurden.
Sectigo Root-Zertifikat sorgt für Ausfälle. Ein Ende Mai 2020 abgelaufenes Root-Zertifikat der CA Sectigo führte zu Fehlern bei der TLS-Zertifikatsprüfung. Die betroffenen Zertifikate waren weiterhin gültig, allerdings waren verschiedene ältere Clients nicht in der Lage, den korrekten Vertrauenspfad zu berechnen. AddTrust External Root CA war das damals betroffene Zertifikat, dass 2000 ausgestellt und für 20 Jahre Gültigkeit besessen hat.
DigiCert musste 23.000 Trustico Zertifikate zurückrufen. Unternehmen, die die Services des Zertifikate-Resellers Trustico nutzten, mussten 2018 lernen, dass der Anbieter, die für sie erstellten Private Keys aufbewahrt hatte. Trustico verkauft Zertifikate von Symantec und Comodo. Bei beiden Zertifizierungsstellen kam es zu Änderungen in der Geschäftspraxis.
Symantec verkaufte seine Geschäftseinheit an DigiCert und Comodo an die Beteiligungsgesellschaft Francisco Partners, die wiederum Mehrheitseigner der Firma NSO sind, einem Anbieter von Staatstrojanern. In einer E-Mail an die Firma DigiCert, die nun für die Symantec-Zertifikate zuständig ist, wurden von Trustico 23.000 Private Keys verschickt als Antwort auf die Anfrage von DigiCert, dass Trustico 50.000 Zertifikate zurückziehen sollte.
Fazit
Unternehmen sollten ein agiles CA-Management einführen, das die aktive Verwaltung all der von ihnen verwendeten Zertifikate von einer CA-unabhängigen Plattform aus ermöglicht. Solche Programme müssen die Rotation, den Widerruf und das Ersetzen von Schlüsseln und Zertifikaten automatisieren und konsistente Sicherheitsrichtlinien für alle CAs durchsetzen.
Letztlich ist der beste Weg, alle größeren Fehler bei PKI zu beseitigen, ein Programm zum Schutz von Maschinenidentitäten aufzubauen. Es sollte Transparenz und Automatisierung bieten, um Sicherheitsrisiken zu reduzieren und die Zuverlässigkeit und Verfügbarkeit zu erhöhen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.