Google hat angekündigt, dass Chrome ab dem 31. Oktober 2024 keinen von Entrust Root-Zertifikaten signierten Zertifikaten mehr vertrauen wird. Obwohl es keine unmittelbaren Auswirkungen auf bestehende Zertifikate oder solche, die vor dem 31. Oktober 2024 ausgestellt wurden, gibt, sollten Unternehmen jetzt damit beginnen, ihren Bestand zu überprüfen.
Am Donnerstag, den 27. Juni 2024, teilte Google mit, dass es „die Diskussionen in der MDSP-Community über Entrusts Versäumnisse bei der Einhaltung der Vorschriften aufmerksam verfolgt“ habe. Obwohl Entrust eine klare Gelegenheit hatte, diese Probleme in einem ersten Bericht gründlich und zufriedenstellend zu lösen, hat die Antwort von Entrust die Erwartungen [von Google] und der Community nicht erfüllt. Als man Entrust eine weitere Chance gab, das erwartete Niveau eines öffentlichen CA-Eigentümers zu erreichen, wurde der nachfolgende Bericht zwar oberflächlich verbessert, bietet aber immer noch keine substanziellen, überzeugenden Beweise für sinnvolle Veränderungen.“
„TLS-Server-Authentifizierungszertifikate, die auf die folgenden Entrust-Wurzeln validiert werden, deren frühester signierter Zertifikatszeitstempel (SCT) nach dem 31. Oktober 2024 (GMT) datiert ist, werden standardmäßig nicht mehr als vertrauenswürdig eingestuft.“
- CN=Entrust Root Certification Authority – EC1,OU=See www.entrust.net/legal-terms+OU=(c) 2012 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
- CN=Entrust Root Certification Authority – G2,OU=See www.entrust.net/legal-terms+OU=(c) 2009 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
- CN=Entrust.net Certification Authority (2048),OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)+OU=(c) 1999 Entrust.net Limited,O=Entrust.net
- CN=Entrust Root Certification Authority,OU=www.entrust.net/CPS is incorporated by reference+OU=(c) 2006 Entrust, Inc.,O=Entrust, Inc.,C=US
- CN=Entrust Root Certification Authority – G4,OU=See www.entrust.net/legal-terms+OU=(c) 2015 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
- CN=AffirmTrust Commercial,O=AffirmTrust,C=US
- CN=AffirmTrust Networking,O=AffirmTrust,C=US
- CN=AffirmTrust Premium,O=AffirmTrust,C=US
- CN=AffirmTrust Premium ECC,O=AffirmTrust,C=US
Die Antwort von Entrust
Später am selben Tag veröffentlichte Todd Wilkinson, Präsident und CEO von Entrust, eine Erklärung an die Kunden:
„Um Ihre Bedenken zu zerstreuen: Die Ereignisse, die zu diesem Misstrauensvorfall geführt haben, hatten keine Auswirkungen auf die Sicherheit, und Sie können sicher sein, dass Ihre Zertifikate sicher sind. Ich möchte Ihnen auch versichern, dass Entrust in der Lage ist und sein wird, Ihren Bedarf an digitalen Zertifikaten jetzt und in Zukunft zu decken. Und unsere Fähigkeit, dies zu tun, geht über die öffentlichen Wurzeln hinaus, die von Googles Entscheidung betroffen sind.“
Wie geht es weiter?
Es gibt zwar Präzedenzfälle für solche Szenarien, wie zuletzt das Misstrauen gegenüber Symantec, aber die genauen nächsten Schritte bleiben ungewiss. Es wird erwartet, dass Entrust angesichts der Dringlichkeit des Zeitplans bald weitere Pläne bekannt geben wird.
Was bedeutet dies für VMC-Zertifikate?
VMC-Zertifikate, die von Entrust ausgestellt wurden, sind derzeit nicht betroffen. Das Gmail-Team gab jedoch an, dass es „intern daran arbeitet, die Situation zu bewerten“. Wir werden unsere Kunden auf dem Laufenden halten, sobald wir mehr erfahren.
Maßnahmen, die Kunden jetzt ergreifen müssen
Obwohl Entrust bisher erklärt hat, dass alles wie gewohnt abläuft, rät Red Sift seinen Kunden, vorsichtig zu sein und die folgenden Schritte zu unternehmen.
- Überprüfen Sie Ihren Zertifikatsbestand mit Hilfe von Red Sift Certificates, um Ihre Gefährdung durch Entrust zu messen. Auch wenn Sie der Meinung sind, dass Sie nicht auf Entrust-Zertifikate angewiesen sind, sollten Sie dies unbedingt tun.
- Bilden Sie die Teile Ihres Bestandes ab, die eine Abhängigkeit von Entrust als Zertifizierungsstelle haben.
- Identifizieren Sie alle Zertifikate von Drittanbietern, von denen Ihre Dienste abhängen und die davon betroffen sind, und stellen Sie sicher, dass die betroffenen Anbieter das aktuelle Szenario verstehen und einen pragmatischen Ansatz wählen.
Wie Red Sift helfen kann
Diese Situation verdeutlicht, warum Red Sift Certificates ein wesentlicher Bestandteil des Sicherheitssoftware-Stacks unserer Kunden ist, insbesondere in der heutigen dezentralisierten und stark automatisierten Zertifikatsausstellungslandschaft. Ohne Red Sift Certificates fehlt den Sicherheits- und Infrastrukturteams unter Umständen der Überblick darüber, welche Zertifizierungsstellen (CAs) genutzt werden und wo die Zertifikate eingesetzt werden.
Kunden von Red Sift Certificates (früher bekannt als Hardenize) können unsere bestehenden Berichte nutzen, um alle öffentlichen Zertifikate in ihrem Bestand zu finden, unabhängig von der ausstellenden CA oder den Hostnamen, auf denen sie bereitgestellt werden. Mit dieser Funktion können sie ihr Risiko umfassend abbilden und verstehen und so fundierte Entscheidungen für ihr Unternehmen treffen.
Um dem aktuellen Szenario gerecht zu werden, werden wir in Kürze einen speziellen Bericht in unser Zertifikats-Dashboard aufnehmen. Mit einem einzigen Klick können Kunden ihre aktuelle Gefährdung einsehen und alle Änderungen bis Oktober überwachen.
Wenn Sie noch kein Kunde von Red Sift Certificates sind, dann fordern Sie eine kostenlose Demo an. Unser Team sorgt dafür, dass Sie innerhalb weniger Minuten startklar sind.
Source: Red Sift-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Julian Wulff, Director Cyber Security Central Europe at Red Sift