Mythen über CAs
Im Laufe der Jahre sind Missverständnisse über Zertifizierungsstellen und die SSL-Infrastruktur entstanden. Nachfolgend finden Sie eine Liste der häufigsten Mythen im Zusammenhang mit SSL und Zertifizierungsstellen, die ursprünglich vom Certificate Authority Security Council (CASC) veröffentlicht wurde. GlobalSign und die anderen Mitglieder des CASC haben sich zusammengeschlossen, um die Sache richtig zu stellen und die Mythen der Branche zu zerstreuen.
Mythos: Zertifizierungsstellen werden nicht reguliert
Fakt: CAs unterliegen einer Reihe von Kontrollen und Gegenkontrollen, wie z.B. qualifizierte Audits von Dritten durch Webtrust oder ETSI und von führenden Browsern dargelegten strengen Kriterien, bevor sie im Stammspeicher des Browsers akzeptiert werden. Ähnlich etablieren die Baseline Requirements und Network Security Guidelines des CA/Browser Forums globale Standards für die Zertifikatausstellung und CA-Kontrollen, die bald in Drittprüfungsstandards enthalten sein werden. Browser sind frei, diese Anforderungen zu verwenden, um nicht konforme Zertifizierungsstellen aus dem Stammspeicher auszuschließen.
Mythos: CAs sind wertlos
Fakt: Fast zwei Jahrzehnte lang haben CAs eine Schlüsselrolle als Hüter des Online-Vertrauens gespielt, indem sie rigorose Methoden zur Validierung von Zertifikatanforderungen von Unternehmen eingesetzt haben, bevor sie digitale Zertifikate ausgestellt haben. Zu den Validierungsmethoden können die Überprüfung der Domain-Inhaberschaft, Gewerbeanmeldung, Autorisierung der Antragsteller Zertifikate im Namen ihres Unternehmens anzufordern, und andere juristische Dokumente umfassen. CAs geben umfangreiche Finanzmittel aus, um ihre Rechenzentren und internen Abläufe zu sichern, ihre Mitarbeiter in Best Practices für die Zertifikatsüberprüfung und -ausstellung zu schulen, und Branchenkontrollen mit regelmäßigen Schwachstellen- und Penetrationstests zusammen mit jährlichen Drittprüfungen durchzusetzen. Selbstsignierte Zertifikate (die ohne CA-Authentifizierung ausgestellt werden) ermöglichen die Verschlüsselung zu und von einer Website, aber geben keine Gewährleistung für die Identität der Website.
Mythos: Alle Arten von durch CAs ausgestellten Zertifikaten sind gleich
Fakt: CAs stellen verschiedene Arten von Zertifikaten für verschiedene Zwecke aus. Verschiedene Arten von Zertifikaten umfassen SSL-Zertifikate, die Website-Transaktionen sichern, Code Signing-Zertifikate, die Anwendungen vor Manipulationen und Malware schützen, S/MIME-Zertifikate, die E-Mail-Austausch authentifizieren, und Client-authentifizierte Zertifikate, die in Unternehmens-PKI-Umgebungen verwendet werden.
Zertifizierungsstellen bieten auch SSL-Zertifikate mit verschiedenen Arten der Validierung an. Je nach Zertifikat kann eine CA Folgendes überprüfen:
- Registrierung der Domain (DV) für die Entität, die ein Zertifikat anfordert.
- Dass das Unternehmen eine registrierte legale Entität ist und die Person, die das Zertifikat beantragt, ermächtigt ist, im Namen der Organisation (OV) zu handeln.
- Dass die Organisation eine überprüfte Telefonnummer, eine legitime Geschäftsadresse und einen überprüften Anforderer hat (EV).
- Sowohl EV- als auch OV-Zertifikate umfassen Angaben zur Identifizierung des Zertifikatsinhabers im Unternehmensfeld des Zertifikats.
Mythos: CAs sind engstirnig, unempfänglich und nicht bereit, nötige Änderungen im SSL-Protokoll zu akzeptieren
Fakt: Dies ist ein häufiges Missverständnis, das von denen, die aktiv gegen CAs sind und alternative Modelle befürworten, aufrechterhalten wird. CASC Mitglieder nehmen gemeinsam an Dutzenden von Branchenstandards erstellenden Organen, Bildungsgruppen und Forschungseinrichtungen teil, und sie unterstützen regelmäßig die Ausarbeitung von Vorschlägen und Annahme von Standards. CASC Mitglieder arbeiten aktiv mit Browsern, vertrauenden Parteien und anderen Beteiligten zusammen, um die Internet-Sicherheit durch praktische, durchdachte Maßnahmen und Forschungszusammenarbeit zu verbessern. Ein Großteil dieses Dialogs findet in einer öffentlichen Umgebung statt, wie z.B. Diskussionen im CA/Browser Forum.
Mythos: SSL bietet keinen ausreichenden Schutz und wir müssen ein neues Ersatzsystem für die Online-Authentifizierung von Identitäten finden
Fakt: Das SSL-Protokoll hat sich als bemerkenswert robust erwiesen, und SSL-Zertifikate bleiben weiterhin das weltweit zuverlässigste und skalierbarste Kryptografiesystem. Berichte von hochkarätigen Sicherheitsvorfällen sind auf den Mangel an geeigneten internen Sicherheitskontrollen auf Entitätsebene zurückzuführen statt auf einen systemweiten Ausfall. Mitglieder des CASC konzentrieren sich darauf, die globalen Standards zu verschärfen, um solche Vorfälle in Zukunft zu entschärfen. Obwohl aufgrund neuer Bedrohungen keine Sicherheitslösung 100 Prozent narrensicher ist, ist die beste Lösung eine Lösung, die praktische, skalierbare Erweiterungen für das aktuelle System bringt, statt zu versuchen, öffentlich vertrauenswürdige Zertifizierungsstellen durch unbewährte und limitierte Technologien zu ersetzen.
Mythos: SSL ist ein veraltetes System mit zu vielen Schwachstellen, als das es langfristig funktionieren könnte
Fakt: Zertifikate von öffentlich vertrauenswürdigen Zertifizierungsstellen haben fast die ganzen letzten zwei Jahrzehnte das Rückgrat der Internetsicherheit gebildet. Sie bleiben nach wie vor die bewährteste, zuverlässigste und skalierbarste Methode, um Internet-Transaktionen zu schützen. CAs werden weiterhin mit Browsern und anderen Parteien zusammenarbeiten, um das SSL-Protokoll zu verbessern und zusätzliche Funktionen zu ermöglichen, die weiterhin neuen Bedrohungen gerecht werden und alle Benutzer schützen.
Mythos: Es gibt mehr als 600 CAs - zu viele, um sie alle unter Kontrolle zu halten und SSL ist ein Massengeschäft
Fakt: Obwohl evtl. Hunderte von Zwischenzertifikaten weltweit existieren, führt Mozillas Stammspeicher nur 65 proprietäre Inhaber oder vertrauenswürdige Root-Zertifikate auf. Mehr als 99 Prozent aller ausgestellten SSL-Zertifikate stammen von den Root-Zertifikaten der sieben weltweit größten Anbieter. Jedes dieser führenden Unternehmen ist von einem akkreditierten Drittwirtschaftsprüfungsunternehmen Webtrust-geprüft und unterliegt Standards, die vom CA/Browser Forum und anderen Organen genehmigt wurden. Jede CA ist sowohl gegenüber ihren Kunden als auch den Betreibern des Browser-Stammspeichers rechenschaftspflichtig. Aufgrund der Führungsrolle der zuständigen Zertifizierungsstellen ist die SSL-Branche neuen Bedrohungen immer voraus geblieben. Jüngste Beispiele für CA Evolutionen sind die Missbilligung von internen Hostnamen, Bereitstellung von SHA-2 und 2048-Bit-Zertifikaten und verbesserte Sicherheitsrichtlinien. Die Fähigkeit der Zertifizierungsstellen sich zu entwickeln, schafft für viele weitere Jahre ein sicheres Internet.
Mythos: Zertifikatwiderruf ist entweder unnötig oder schwierig. Seine Vorteile überwiegen nicht die möglichen Browser Performance-Probleme, die er verursacht
Fakt: Zertifikatwiderruf spielt eine Schlüsselrolle im SSL-Ökosystem als führendes Authentifizierungstool bei der Bestimmung, ob ein Zertifikat vertrauenswürdig ist. Jeden Tag werden Milliarden von Zertifikatstatusanforderungen an Widerrufauskunftserver auf der ganzen Welt gesendet. Diese Server informieren den Browser darüber, ob ein Zertifikat nicht mehr gültig ist. Dies schützt Nutzer, indem sichergestellt wird, dass Browser die aktuellsten Informationen zu weltweiten Bedrohungen und Problemen haben. CASC Mitglieder arbeiten mit Browsern und anderen Parteien zusammen, um bestehende Verfahren weiter zu verbessern und neue Widerrufsysteme zu entwickeln, die Leistung und Sicherheit effektiv abgleichen und für eine vertrauenswürdige Erfahrung für alle Internetnutzer sorgen.
Mythos: CAs haben keinen Anreiz Neuerungen einzuführen und nötige Änderungen vorzunehmen
Fakt: Zertifizierungsstellen haben den höchsten Anreiz, notwendige Änderungen zu beschließen und sie arbeiten zusammen daran, das SSL-System zu verbessern. Der Ruf einer CA ist unerlässlich für ihr Überleben. Daher arbeiten die Mitglieder des CASC sehr hart daran, die Branche zu entwickeln und eine aggressive und effektive Sicherheitslage hinsichtlich ihrer eigenen Systeme und der Kundensysteme, die sie bedienen, zu pflegen. Kürzlich verabschiedete verbindliche Standards sind folgende (neben anderen derzeit diskutierten):
- Baseline Requirements
- Network Security Guidelines
- EV Code Signing und Erweiterungen der SSL EV-Standards
ies ist erneut veröffentlichter Inhalt des Certificate Authority Security Council, in dem GlobalSIgn Mitglied ist. Den Originalartikel finden Sie unter https://casecurity.org/myths/