GlobalSign weist Unternehmen darauf hin, sich auf wichtige PKI-Änderungen ab diesem Herbst bis 2024 vorzubereiten

26. Juli 2023

Eine führende Zertifizierungsstelle warnt die Industrie vor bevorstehenden Entwicklungen im Bereich der Cybersicherheit in einem Markt, auf den sich Millionen von Unternehmen weltweit verlassen

Laut GMO GlobalSign, Inc. eine globale Zertifizierungsstelle (CA) und Anbieter von Identitätssicherheit, digitalen Signaturen und IoT-Lösungen, wird es im Laufe dieses Jahres und bis in das Jahr 2024 hinein bedeutende Veränderungen auf dem Public Key Infrastructure (PKI)-Markt geben, und Organisationen aller Art sollten sich dieser Veränderungen bewusst sein. Diese bedeutenden Änderungen betreffen mehrere kritische Bereiche: Googles‘ Bewegung, die Lebensdauer von SSL/TLS-Zertifikaten zu reduzieren, neue CA/Browser Forum Baseline Requirements für E-Mail-Sicherheit und obligatorische Root-Änderungen von Mozilla. Die bevorstehenden Änderungen werden erhebliche Auswirkungen auf Branchen haben, die PKI verwenden – auf die sich Millionen von Unternehmen weltweit verlassen. Diese Änderungen werden die Unternehmen dazu zwingen, ihre PKI anzupassen, um eine kontinuierliche Sicherheitskonformität zu gewährleisten.

Umstellung auf 90-Tage-SSL/TLS-Zertifikate

Organisationen, die sich auf PKI verlassen, müssen über die Ankündigung von Google vom 3. März informiert werden. Dies impliziert eine obligatorische maximale Gültigkeitsdauer von 90 Tagen für SSL/TLS-Zertifikate. Der aktuelle Lebenszyklus von SSL/TLS-Zertifikaten beträgt 398 Tage. Unternehmen wird dringend empfohlen, ihre Prozesse für den Lebenszyklus von Zertifikaten jetzt zu überprüfen und sich auf diese Änderungen vorzubereiten, um weiterhin die Sicherheit zu gewährleisten. Diese Entwicklungen können Unternehmen dazu zwingen, ihre IT-Infrastruktur umzustrukturieren und neue Technologien einzusetzen, insbesondere zur Automatisierung, um eine kontinuierliche Verwaltung des Lebenszyklus von Zertifikaten sicherzustellen.

„Website-Administratoren müssen auf Automatisierung umstellen, wenn die von Google vorgeschlagene maximale Zertifikatsgültigkeit von 90 Tagen und die Wiederverwendung von Domains in Kraft tritt. Es wird immer schwieriger werden, Zertifikate durch manuell erstellte CSRs und nachfolgende Zertifikatsinstallationen zu ersetzen, da die Gültigkeitsdauer und die Zeiträume für die Revalidierung von Domänen immer kürzer werden,“ erklärte Doug Beattie, Vizepräsident, Product Management, GlobalSign. „Technologien wie GlobalSigns ACME-Angebot helfen bei der Automatisierung von Zertifikats-Lebenszyklus-Funktionen und stellen sicher, dass Zertifikate automatisch durch vollautomatische Prozesse ersetzt werden, bevor sie ablaufen. Dies sorgt für die Sicherheit der Unternehmen und verhindert, dass ihre Websites abgelaufene Zertifikate verwenden, was zu Geschäftseinbußen führen würde.“

Änderungen der S/MIME-Basisanforderungen

Im Januar einigte sich das CA/B-Forum, ein Konsortium von Browserherstellern, Zertifizierungsstellen und anderen Organisationen im Ökosystem digitaler Zertifikate, auf eine neue Reihe von Standards mit der Bezeichnung „Baseline Requirements for the Issuance and Management of Publicly-Trusted S/MIME Certificates„, um die detaillierten Branchenanforderungen für S/MIME-Zertifikate festzulegen. Die neuen Standards führen zu einer Änderung, die am 1. September in Kraft treten wird. Dies bedeutet standardisierte Zertifikatsprofile, die eine zusätzliche organisatorische oder individuelle Validierung erfordern, und in einigen Fällen müssen die CAs ihre derzeitigen S/MIME-CAs durch neue, beanstandete CAs ersetzen. Ein Industriestandard für S/MIME-Zertifikate verbessert die Interoperabilität sowie Sicherheit und entspricht dem, was für TLS- und Code Signing-Zertifikate getan wurde.

Mozilla plant, alten Root-Zertifikaten zu misstrauen

Mozilla hat Pläne angekündigt, die SSL/TLS- und S/MIME-Vertrauensbits in Roots zu entfernen, wenn diese 15 bzw. 18 Jahre alt sind. Dieser Schritt wird unternommen, weil einige der älteren Roots nicht den aktuellen Root-Anforderungen entsprechen und um die kryptografische Flexibilität zu fördern. Die SSL/TLS-Vertrauensbits der GlobalSign Root R1 und R3 werden im April 2025 bzw. April 2027 entfernt. Infolgedessen werden wir die Ausstellung von SSL/TLS-Zertifikaten unter diesen Roots in den Jahren 2024 und 2026 einstellen. Weitere Einzelheiten zu den Plänen von GlobalSign werden im Laufe des Jahres bekannt gegeben.

Erfahrung, Wissen und Verlässlichkeit

Mit 27 Jahren Erfahrung ist GlobalSign Ihre zuverlässige Quelle für Empfehlungen, unabhängig von der Größe einer Organisation, wie man am besten durch diese bedeutenden Veränderungen in der Branche navigiert. Da Unternehmen, die PKI nutzen, keine Wahl haben, wenn es um Änderungen an öffentlichen Zertifikaten geht, müssen sie ihre PKI-Sicherheits- und Automatisierungsstruktur so schnell wie möglich anpassen, um widerstandsfähig zu bleiben.

Beattie fügte hinzu: „Wir verstehen die Sorgen, die diese Änderungen hervorrufen, insbesondere bei kleineren Unternehmen. Aber es gibt einen Lichtblick: Bei GlobalSign sind wir bereit, jeden Kunden Schritt für Schritt auf dieser Reise zu begleiten und sie können sicher sein, dass wir sie mit den Methoden und Dienstleistungen ausstatten, die sie benötigen, egal ob sie ein Unternehmen, ein KMU oder ein Service Provider sind. Auf diese Art kann jedes Unternehmen in Zukunft auf ähnliche Weise arbeiten wie heute, ohne dass die Auswirkungen dieser Veränderungen dramatische Folgen haben.“

Weitere Informationen finden Sie unter https://www.globalsign.com.