GlobalSign Blog

15 Mär 2018

Was passiert, wenn Sie Ihre SSL-Zertifikate nicht rechtzeitig erneuern?

Das Leben ist hektisch und manchmal vergisst man Dinge zu tun. Aber einige Aufgaben sollten nicht hinausgezögert werden. Dazu gehört auch das Erneuern des SSL/TLS-Zertifikats einer Website. SSL-Zertifikate ermöglichen einer Person, einem Computer oder einer Organisation Informationen wie Bankkontodaten, Log-ins und Kreditkartennummern sicher über das Internet auszutauschen.

Sie können sich also vorstellen, warum aktuelle Zertifikate für Unternehmen, wie z.B. Händler, besonders wichtig sind - und die Probleme, die entstehen können, wenn Unternehmen sie ablaufen lassen. Dazu gehört, dass Websites als unsicher markiert und von Browsern geblockt werden, was zu verringertem Besuchervertrauen und, natürlich, abgebrochenen Einkaufsvorgängen führt.

expired ssl

Beispiel-Website mit abgelaufenem SSL-Zertifikat in Chrome

Aber wollen Sie wirklich dieses Risiko eingehen? Wahrscheinlich nicht. Und trotzdem wird das Erneuern von Zertifikaten häufiger vergessen, als man denkt. Und dies ist nicht auf eine einzelne Branche beschränkt.

In den vergangenen vier Monaten haben beispielsweise LinkedIn, Pokemon Go, die britische Conservative Party und sogar das Weiße Haus ihre SSL-Zertifikate kurzzeitig ablaufen lassen. Dies sind offensichtlich einige sehr große Namen, und wenn ein Browser anzeigt, dass eine Website nicht vertrauenswürdig ist, wird der Website-Verkehr aller Wahrscheinlichkeit nach einen gewaltigen Absturz erleben. Sicherheitswarnungen können auch ihren Ruf infrage stellen.

Im Fall von LinkedIn liefen einige Länder-Subdomains ab. Daher erhielten eine große Anzahl von Benutzern Sicherheitswarnungen. Für eine etablierte Seite wie LinkedIn, die eine große Anzahl von wiederkehrenden Besuchern hat, ist es nicht unwahrscheinlich, dass viele von ihnen einfach die Warnungen weggeklickt und die Seite trotzdem besucht haben. Dies ist offensichtlich ein besorgniserregendes Verhalten, da es diese Warnungen nicht ohne Grund gibt. Was passiert, wenn die Website zukünftig tatsächlich kompromittiert wird und Besucher die Warnungen ignorieren, weil sie denken: "Oh, ich habe beim letzten Mal eine Fehlermeldung erhalten, als ich versucht habe, LinkedIn zu erreichen, und es stellte sich heraus, dass nichts war. Also ist das jetzt kein Drama."?

Dann das Weiße Haus. Seien wir ehrlich: Es ist einfach nur peinlich, dass der Administrator dieser Website Zertifikate ablaufen lässt. Die Öffentlichkeit vertraut Behörden-Websites und diese gelten heute als Hauptziele für Cyberangriffe. Gerade für hochrangige Websites ist es wichtig, adäquate Management-Systeme zu haben, um Risiken zu eliminieren und gleichzeitig Website-Besucher zu ermuntern, angemessen auf potenzielle Sicherheitslücken zu reagieren.

Diese Vorfälle sind bedauerlich, aber sie können als wichtige Lektion herhalten, die Gültigkeitsdauer Ihres Zertifikats im Auge zu behalten und sich der Gefahren bewusst zu sein, wenn Sie es nicht erneuern.

Ich sollte auch darauf hinweisen, dass sich die obigen Beispiele zwar alle auf öffentliche Websites beziehen, SSL aber auch für interne Netzwerke verwendet wird (je nach Unternehmen sogar noch mehr), und dass unerwartetes Ablaufen auch hier verheerende Folgen haben kann. Wenn Ihre Prozesse von diesen Zertifikaten abhängig sind - für Verschlüsselung, gegenseitige Authentifizierung usw. - kann ein abgelaufenes Zertifikat alles zum völligen Stillstand bringen.

Ablaufen eines SSL-Zertifikats vermeiden

Zur Erinnerung: Sie wollen keinesfalls wie eine der oben genannten Firmen sein, die ihre Zertifikate ablaufen ließen. Aber was können Sie tun, um es zu verhindern? Hier sind einige Tipps:

  1. Verlassen Sie sich nicht auf Tabellenkalkulationen! Es tut mir ein wenig in der Seele weh, wenn ich höre, dass Leute sich immer noch auf manuell aktualisierte Tabellenkalkulationen verlassen, um den Überblick über ihre Zertifikate zu behalten. Obwohl ich Ihnen nicht sagen kann, was zu tun ist, stressen mich die möglichen Probleme mit diesem System - Was passiert, wenn jemand vergisst, die Datei zu aktualisieren? Was passiert, wenn jemand die Daten versehentlich mit falschen Daten überschreibt? Was passiert, wenn Ihr System abstürzt und Sie die ganze Datei verlieren (angenommen, Sie haben sie nicht gesichert)? Oh je!
  2. Nutzen Sie das Zertifikat-Management-Portal Ihrer CA. Ich denke, dass die meisten Zertifizierungsstellen inzwischen eine Art Verwaltungsoberfläche bieten, auf der Sie alle Zertifikate sehen können, die Sie bei ihnen bestellt haben, und die Sie nach bevorstehenden Abläufen filtern können. Und wenn Ihre CA so etwas nicht hat ... ist es vielleicht an der Zeit, andere Optionen zu prüfen.
  3. Überprüfen Sie die E-Mail-Adresse, die mit Ihren Zertifikaten verknüpft ist. Bei GlobalSign haben wir standardmäßig E-Mail-Erinnerungen, die in regelmäßigen Abständen zum Ablaufdatum eines Zertifikats gesendet werden (Sie können die Häufigkeit steuern und sie ganz ausschalten, wenn Sie möchten). Aber diese Erinnerungen sind allesamt wertlos, wenn sie an eine falsche Adresse (z. B. an einen ehemaligen Mitarbeiter, der nicht mehr im Unternehmen ist) oder an ein Konto gehen, das nicht häufig überprüft wird.
  4. Sind Sie besorgt, dass Sie einige verdächtige Zertifikate haben, die nicht ausgewiesen werden? Es gibt Inventar-Tools für genau diese Situation, von denen viele Zertifikate unabhängig von ausstellender Zertifizierungsstelle und Standort (d.h. öffentlich oder intern) finden. Damit komme ich tatsächlich zu meinem letzten Punkt ...
  5. Führen Sie eine vollständige Zertifikat-Inventur durch! Sie denken vielleicht, dass Sie alle Ihre Zertifikate im Griff haben - Sie verwenden das Management-Portal Ihrer CA, erhalten E-Mail-Benachrichtigungen, die vielleicht sogar Ihre Erneuerungszeiten synchronisieren - bis Sie, Schwupps, feststellen, dass ein willkürliches Zertifikat abgelaufen ist und Ihnen nun jeder Vorwürfe macht. Wenn Sie sowohl Ihre öffentlichen als auch Ihre internen Netzwerke vollständig scannen, werden Sie auf alles aufmerksam, mit dem Sie arbeiten. So können Sie darauf vorbereitet sein, wenn das zufällige Zertifikat, das vom Entwicklungsteam bestellt wurde, zur Erneuerung ansteht.

Haben Sie Fragen zur Verwaltung von SSL und wie Sie immer auf dem aktuellen Stand Ihres Zertifikatinventars bleiben? Wir machen es Ihnen leicht und helfen Ihnen gerne weiter!

Artikel teilen