Redirecting you to
Click if you are not redirected within 5 seconds
Suche
USD
Deutsch
Kontakt
Kostenloser Test
Blog-Beitrag Apr. 29, 2024

Was ist eine Zertifikatsperrung und wann sollte ein SSL-Zertifikat gesperrt werden?

Digitale Zertifikate sind für die Identitätssicherheit von entscheidender Bedeutung. Das Lebenszyklusmanagement, einschließlich der Zertifikatsperrung, ist von entscheidender Bedeutung. Die Zertifikatsperrung verhindert Sicherheitslücken und -verletzungen.

Inhaltsverzeichnis

1. Was ist der Zweck der Zertifikatswiderrufung?
2. Wann sollte ein SSL-Zertifikat gesperrt werden?
3. Was ist eine Zertifikatsperrliste (Certificate Revocation List, CRL)?
4. Was ist das Online Certificate Status Protocol (OCSP)?
5. Erneute Ausstellung eines SSL nach Widerruf

Digitale Zertifikate sind die treibende Kraft hinter den heutigen Identitäts-First-Sicherheitsstrategien, und angesichts der zunehmenden Abhängigkeit von diesen Zertifikaten (und ihres gestiegenen Volumens) ist die Bedeutung eines strategischen Lebenszyklusmanagements unbestreitbar. Oft konzentrieren sich die Personen oder Organisationen, die Zertifikate benötigen, jedoch auf die frühen Phasen dieses Lebenszyklus: Entdeckung, Ausstellung und schließlich Erneuerung. Ja, diese Prozesse sind von entscheidender Bedeutung, aber manchmal müssen sie von einem weiteren, oft weniger bekannten Schritt begleitet werden: der Zertifikatswiderrufung.

Durch die Zertifikatswiderrufung wird ein Zertifikat ungültig, bevor es abläuft. Dies ist ein wesentlicher Bestandteil des Lebenszyklus der Zertifikatsverwaltung, der verstanden werden muss, da er dazu beiträgt, Sicherheitslücken und -verletzungen zu verhindern, die durch einen kompromittierten privaten Schlüssel, ein fälschlicherweise ausgestelltes Zertifikat und vieles mehr verursacht werden könnten.

In diesem Artikel gehen wir darauf ein, was der Zweck dieser Lebenszyklusphase ist, wann sie benötigt wird, was sie beinhaltet und vieles mehr.

Was ist der Zweck der Zertifikatswiderrufung?

Die Zertifikatswiderrufung dient als Schutzmaßnahme für den Fall, dass ein SSL/TLS-Zertifikat kompromittiert wird. Wenn Anzeichen für Probleme festgestellt werden, sollten digitale Zertifikate widerrufen werden, um zu verhindern, dass sich nicht autorisierte Benutzer als Entitäten ausgeben oder dass böswillige Akteure kompromittierte Zertifikate auf andere Weise ausnutzen können.

Auf individueller Ebene wird dadurch sichergestellt, dass jedes Zertifikat seine Hauptfunktion erfüllen kann: die Herstellung sicherer Verbindungen und letztlich mehr Sicherheit. Sperrfunktionen sind auch in größerem Maßstab wichtig, da sie in umfassendere Risikomanagementbemühungen einfließen und dazu beitragen können, das Vertrauen zwischen Webservern, Browsern und anderen Parteien zu stärken.

Wann sollte ein SSL-Zertifikat gesperrt werden?

Zertifikatsperrungen sind sehr häufig und es ist nicht ungewöhnlich, dass Zertifikatsinhaber irgendwann diesen Schritt unternehmen. Hier sind die Hauptgründe für die Sperrung eines SSL-Zertifikats:

  • Schlüsselkompromittierung. Eines der Hauptprobleme, das eine Sperrung auslöst: Anzeichen dafür, dass die privaten Schlüssel für das Zertifikat gestohlen oder anderweitig kompromittiert wurden. Diese können durch schlechte Schlüsselverwaltung, schwache Verschlüsselung oder eine ganze Reihe anderer Probleme kompromittiert werden – aber wenn dies geschieht, ist eine sofortige Sperrung des Zertifikats unerlässlich.
  • Zu Unrecht ausgestellt. Digitale Zertifikate dienen dazu, die Identität des Zertifikatsinhabers zu überprüfen. Wenn diese Identität von der Zertifizierungsstelle (CA) nicht ordnungsgemäß überprüft wird, ist es möglich, dass die Stelle, die das Zertifikat erhält, betrügerisch ist. In einigen Situationen ist es Bedrohungsakteuren gelungen, sich Zertifikate durch Phishing und andere böswillige Aktivitäten zu sichern. Die Zusammenarbeit mit einer hoch angesehenen Zertifizierungsstelle kann das Risiko solcher Probleme zwar begrenzen, es ist jedoch auch wichtig, über Widerrufoptionen zu verfügen, damit im schlimmsten Fall zu Unrecht ausgestellte Zertifikate umgehend widerrufen werden können.
  • Änderungen des Domainbesitzes. Die Sperrung von Zertifikaten ist nicht immer eine rein reaktive Maßnahme. Sie kann auch als Reaktion auf Änderungen des Domainbesitzes erfolgen, um einen möglichen Missbrauch durch einen neuen Domainbesitzer zu verhindern. In dieser Situation ist eine Sperrung auch aufgrund des möglichen Vertrauensverlusts gerechtfertigt, der entstehen könnte, wenn die Echtheit des Zertifikats in Frage gestellt wird.
  • Cyberangriffe. Im Falle eines Malware- oder anderen Cyberangriffs ist eine sofortige Sperrung unerlässlich. Andernfalls könnten kompromittierte Zertifikate an der weiteren Verbreitung von Malware beteiligt sein.

Was ist eine Zertifikatsperrliste (Certificate Revocation List, CRL)?

Eine Zertifikatsperrliste (Certificate Revocation List, CRL) ist ein Verzeichnis gesperrter digitaler Zertifikate. Diese Liste wird von einer Zertifizierungsstelle erstellt und signiert und bietet eine einfache Möglichkeit, um anzugeben, welche Zertifikate nicht mehr gültig sind und nicht mehr als vertrauenswürdig angesehen werden sollten.

CRL-Einträge können die Seriennummern der Zertifikate sowie Details zum Widerrufsdatum und zur ausstellenden Zertifizierungsstelle enthalten. Diese werden dann an verschiedene Verteilungsstellen gesendet, um sicherzustellen, dass sie zugänglich sind, damit die Parteien, die sich auf sie verlassen, diese Ressourcen einfach herunterladen und zwischenspeichern können. Diese CRLs sollten regelmäßig aktualisiert werden, um sicherzustellen, dass die Angaben zu widerrufenen Zertifikaten korrekt sind.

Was ist das Online Certificate Status Protocol (OCSP)?

Das Online Certificate Status Protocol (OCSP) ermöglicht Echtzeit-Überprüfungen des Status von Zertifikaten, da Webbrowser und andere Entitäten eine Anfrage an einen OCSP-Server senden können, um Informationen über den Sperrstatus eines Zertifikats zu erhalten. Dies hilft, die Lücken der CRL zu schließen, da diese Liste in regelmäßigen Abständen und nicht in Echtzeit aktualisiert wird.

Der OCSP-Prozess beginnt damit, dass der Client eine Anfrage an einen OCSP-Responder sendet, der direkt von der betreffenden Zertifizierungsstelle betrieben werden kann. Nach Erhalt dieser OCSP-Anfrage überprüft der Responder umgehend den Status des betreffenden Zertifikats. Die anschließende Antwort sollte sofort Aufschluss darüber geben, ob das Zertifikat weiterhin gültig ist oder widerrufen wurde. Der Client kann dann entsprechend dieser Antwort Maßnahmen ergreifen oder mit der Überprüfung der CRL fortfahren und zusätzliche Details abrufen.

Wie Browser mit gesperrten Zertifikaten umgehen

Wenn Webbrowser auf ein SSL/TLS-Zertifikat stoßen, führen sie mehrere Prüfungen durch, um dessen Gültigkeit zu bestätigen. Dazu gehört die Überprüfung der digitalen Signatur auf dem Zertifikat, die Bestätigung, dass das Zertifikat innerhalb seiner Gültigkeitsdauer liegt, und anschließend die Durchführung einer Zertifikatsperrstatusprüfung.

Um diese Prüfung abzuschließen, verwenden Browser die CRL oder OCSP. Wenn diese Lösungen anzeigen, dass das Zertifikat nicht widerrufen wurde, kann die Verbindung hergestellt werden. Wenn sie jedoch einen Widerruf anzeigen, wird eine Warnung angezeigt, um potenziell gefährdete Benutzer zu schützen. In einigen Situationen können diese Verbindungen vollständig gesperrt werden. Wenn Benutzer fortfahren können, können erhebliche Sicherheitsrisiken bestehen.

Erneute Ausstellung eines SSL nach Widerruf

Der Widerruf ist nur eine Entwicklung in einem umfangreichen Lebenszyklus von Zertifikaten, der auch mehrere andere Schritte umfasst: Ausstellung, Verwendung und Überwachung, Ablauf und Erneuerung. Wenn sich ein Widerruf als notwendig erweist, muss ein Plan vorhanden sein, der sicherstellt, dass weiterhin eine starke Abdeckung durch gültige digitale Zertifikate besteht. Dies wird in der Regel durch eine erneute Ausstellung geregelt, bei der ein Antrag an die Zertifizierungsstelle gesendet und die Identität der Person oder Organisation, die das neue Zertifikat anfordert, überprüft wird.

Während dieses Vorgangs können weitere Statusprüfungen erforderlich sein, um sicherzustellen, dass kompromittierte Zertifikate ordnungsgemäß widerrufen wurden. Darüber hinaus kann die Zertifizierungsstelle eine umfassende Überprüfung durchführen, um die Umstände des vorherigen Widerrufs zu ermitteln. Dies ist wichtig, um legitime Neuausstellungsanfragen zu fördern. Wie bei „typischen“ Erneuerungsprozessen ist die Validierung von entscheidender Bedeutung und umfasst die Überprüfung des Domainbesitzes und anderer Details. Das neue Zertifikat kann dann vertrauensvoll ausgestellt, installiert und konfiguriert werden.

Praktische Erkenntnisse

Die Sperrung von Zertifikaten spielt eine entscheidende Rolle bei der Förderung der digitalen Sicherheit. Dies ist nur eine Komponente der komplexen Reihe von Lösungen für digitale Zertifikate, die Sectigo Certificate Manager (SCM) anbietet.

Das Ziel: alle Aspekte des Zertifikatslebenszyklus-Managements zu optimieren, um die Effizienz und die Sicherheit zu steigern. Wir bieten auch äußerst vertrauenswürdige SSL/TLS-Zertifikate an, die für die Authentifizierung von Identitäten und die Erstellung sicherer Verbindungen von entscheidender Bedeutung sind.

Entdecken Sie diese Möglichkeiten oder starten Sie eine kostenlose Testversion von SCM, um die Leistungsfähigkeit des automatisierten Zertifikatslebenszyklus-Managements zu entdecken.

Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!

Verwandte Beiträge:

Wie sollten sich Unternehmen auf kürzere Gültigkeitszeiträume von SSL/TLS-Zertifikaten vorbereiten?

Wie funktionieren das Online Certificate Status Protocol und OCSP Stapling und mehr

Was ist ein Zertifikatsverwaltungssystem und wann wird ein automatisiertes System benötigt?