Fotolia
Was sind die Risiken einer internen Certificate Authority?
Immer häufiger setzen Unternehmen interne CA-Server ein, um selbst die Kontrolle über ihre Zertifikate zu behalten. Dadurch entstehen aber teilweise erhebliche Risiken.
Ist es möglich, selbst eine Public Key Infrastructure (PKI) einzurichten, mit der sich die gelegentlich störenden Anforderungen und Richtlinien von öffentlichen CAs (Certificate Authorities) zur Ausstellung von Zertifikaten umgehen lassen? Gibt es zudem Serversoftware, mit der sich diese Hürden umschiffen lassen?
Ohne das Wissen, warum überhaupt diese Anforderungen und Richtlinien existieren, ist es schwierig, Tipps zur Umgehung der offiziellen Vorgaben zu geben. Dazu kommt, dass jedes Netzwerk, das auf einer nicht standardisierten und möglicherweise fehlerhaften PKI-Struktur basiert, durch Man-in-the-Middle-Angriffe, Ausspionieren und Schlimmerem bedroht ist.
Unternehmen nutzen bereits seit längerem von ihnen selbst signierte Zertifikate und setzen auch immer wieder eigene Zertifizierungsstellen (CAs) ein. Damit authentifizieren sie Server, Anwendungen und IP-Adressen, die nicht öffentlich zugänglich sind, aber trotzdem per SSL (Secure Sockets Layer) geschützt werden müssen. In diesen Situationen ist es jedoch notwendig, dedizierte Hard- und Software einzusetzen, die den benötigten Grad an Sicherheit bieten.
Das CA/Browser Forum kümmert sich um die Anforderungen für die Vergabe und das Management öffentlich verfügbarer Zertifikate. Außerdem ist es für die Industriestandards für die Nutzung von SSL-Zertifikaten zuständig. Aufgrund der gravierenden Auswirkungen, die sich wegen fehlerhaft installierter und ausgegebener Zertifikate ergeben können, hat das CA/Browser Forum schärfere Kontrollen für öffentliche Certificate Authorities und die von ihnen vergebenen Zertifikate eingeführt.
So untersagt es zum Beispiel seit 2015, das öffentliche Zertifikate interne Servernamen und reservierte IP-Adressen enthalten dürfen. Auch ist es nicht mehr erlaubt, ein überprüftes SSL-Zertifikat zu erwerben, das für interne Mail- oder Wiki-Server genutzt werden kann. Das ist auch einer der Gründe, warum viele Organisationen mittlerweile ihre eigenen CAs und von ihnen selbst unterzeichnete Zertifikate betreiben. Zudem lassen sich damit Kosten reduzieren und auch Domain-Namen wie Mail, Wiki oder Test nutzen.
Microsoft Windows Server und andere Serverbetriebssysteme bieten die Möglichkeit, selbst eine CA aufzusetzen. Dazu kommen Lösungen von anderen Anbietern wie Private Certification Authority von Symantec oder IntranetSSL von GlobalSign, mit denen sich mit Hilfe der nicht-öffentlichen CAs der Unternehmen Zertifikate ausstellen lassen.
Da diese Zertifikate auf nicht öffentlich zugänglichen Trusted-Root-Zertifikaten basieren, sind sie nicht von den Einschränkungen des CA/Browser Forums betroffen.
Zertifikate und Vertrauen
Um aber zu verhindern, dass die Browser der internen Nutzer eines Unternehmens diese Zertifikate als nicht vertrauenswürdig einstufen, müssen die nicht öffentlichen Root-Zertifikate via Gruppenrichtlinie oder über ein anderes zentralisiertes Management-System auf die Workstations verteilt werden. Dann können die Netzwerk-Administratoren die internen Browser so konfigurieren, dass sie die von der eigenen CA ausgegebenen Zertifikate ohne Fehlermeldung akzeptieren. Außerhalb des Netzwerks gelten sie aber weiterhin als nicht vertrauenswürdig. Insbesondere Server, die von außen zugänglich sind, benötigen deswegen Zertifikate, denen von allen wichtigen Betriebssystemen vertraut wird.
Obwohl Administratoren nicht denselben Level an Kontrolle über ihre internen Zertifikate und die dabei verwendete Infrastruktur ausüben müssen wie eine öffentliche CA, können mangelhafte Sicherheitsmaßnahmen doch die gesamte PKI schädigen. Dadurch kann es etwa zu der schwierigen Situation kommen, dass den internen Zertifikaten nicht mehr vertraut werden kann.
Bevor Sie also selbst eine private CA in Ihrem Unternehmen einrichten, sollten Sie deswegen alle Vor- und Nachteile dieser PKI-Struktur verstehen. Stellen Sie zudem sicher, dass Ihre IT-Abteilung über die nötigen Fähigkeiten und Ressourcen verfügt, um diese anspruchsvolle Aufgabe auch wirklich sicher und effektiv erfüllen zu können.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
