Im Jahr 2024 wird die Automatisierung von Digitale Zertifikate (CLM) entscheidend

Im Jahr 2024 wird die Automatisierung von Digitale Zertifikate (CLM) entscheidend
19 Jan ‘24

In diesem Blog bieten wir einen Überblick über Entwicklungen im PKI-Markt und bevorstehende Initiativen bei KeyTalk.

Maximale Gültigkeit von 90 Tagen für TLS/SSL-Zertifikate

Am 3. März 2023 kündigte Google in seiner “Moving Forward, Together”-Fahrplan die Absicht an, die maximale Gültigkeitsdauer öffentlicher TLS-Zertifikate von 398 Tagen auf 90 Tage zu reduzieren. Diese Reduzierung auf nur 90 Tage maximale Gültigkeit wird bedeutende Veränderungen in der Industrie mit sich bringen. Obwohl der genaue Zeitpunkt unbekannt ist, ist es wahrscheinlich, dass dieses Maximum von 90 Tagen bis Ende 2024 in Kraft treten wird.

Was ist die Auswirkung?

Die meisten Organisationen handhaben den Ersatz von TLS/SSL-Zertifikaten immer noch manuell, oder es wird an einen externen IT-Manager oder einen Managed Service Provider (MSP) ausgelagert, der es ebenfalls manuell durchführt. Mit der Implementierung dieser von Google vorgeschlagenen Regel wird der Ersatz dieser Zertifikate viermal so oft erforderlich sein wie derzeit, was zu erheblichen zusätzlichen Kosten führen kann. Auch wird das Risiko von Fehlern in diesem Ersatzprozess vervierfacht, wodurch die Wahrscheinlichkeit, die Kontinuität der kritischen IT-Infrastruktur zu gefährden, steigt, was zu viel höheren Kosten führen kann.

Zeit für Automatisierung

Um den steigenden Kosten und dem Risiko weiterer Kosten durch die Diskontinuität der kritischen IT-Infrastruktur zuvorzukommen, ist die Automatisierung des Ersatzes von TLS/SSL-Zertifikaten wesentlich. Große Zertifizierungsstellen wie DigiCert, GlobalSign und Sectigo warnen bereits davor und bieten logischerweise ihre eigenen Zertifikatsverwaltungssysteme für diesen Zweck an. Um unnötige Abhängigkeiten von solchen Einrichtungen zu vermeiden, ist es klug, CA-unabhängige Systeme für das Zertifikatslebenszyklusmanagement (CLM) in Betracht zu ziehen, wie das Certificate & Key Management System (CKMS) von KeyTalk.

Automatisierung à la Let’s Encrypt

Viele Webserver sind mit Let’s Encrypt-Zertifikaten ausgestattet, da Standardautomatisierung über das ACME-Protokoll angeboten wird. Die Gültigkeit dieser Zertifikate beträgt bereits jetzt 90 Tage und kann problemlos noch kürzere Gültigkeitszeiträume unterstützen. Die Ausstellung von Let’s Encrypt-Zertifikaten umfasst keine Validierung des Unternehmens, das das Zertifikat beantragt, keine Überprüfungen bei einer Handelskammer und keine anderen Legitimitätsprüfungen für das Unternehmen oder das Domain, für das das Zertifikat angefordert wird. Eine Zertifikatsanfrage bei DigiCert, GlobalSign oder Sectigo wird mit den erforderlichen Überprüfungen durchgeführt und ist daher nicht kostenlos. Mit dem KeyTalk CKMS jedoch wird die Beantragung, Installation und der Ersatz aller Arten von DV, OV und EV TLS/SSL-Zertifikaten von all diesen CAs automatisiert, und Sie müssen sich keine Sorgen um Zertifikate machen, die maximal 90 Tage gültig sind.

Umfangreiche Unterstützung für Automatisierung

Mit dem KeyTalk CKMS ist Automatisierung bereits seit Jahren möglich, basierend auf dem KeyTalk-Agenten, vergleichbar mit einem ACME-Agenten (Certbot oder WinAcme), reagiert jedoch beispielsweise auf die Widerrufung von Zertifikaten und unbeabsichtigte Zertifikatlöschung, was ACME-Agenten nicht können. Da KeyTalk seit Q4 2023 auch als ACME-Server funktioniert, werden alle Server, Netzwerkgeräte wie Load Balancer und Firewalls sowie Anwendungen, die Automatisierung auf Basis des ACME-Protokolls unterstützen, auch mit der Automatisierung von TLS/SSL-Zertifikaten unterstützt, aber jetzt für alle Arten von Zertifikaten von DigiCert, GlobalSign und Sectigo (ab Q2-2024).

Entwicklungs-Fahrplan von KeyTalk für 2024

Da wir ein weiteres spannendes Jahr beginnen, freut sich KeyTalk, verschiedene neue Entwicklungen anzukündigen, die Teil unseres Fahrplans für 2024 sind. Diese Innovationen sind darauf ausgelegt, unsere Dienstleistungen zu verbessern und unseren Kunden die fortschrittlichsten Sicherheitslösungen zu bieten. Hier sind einige der wichtigsten Highlights:

  1. Neuer Embedded Certificate Network Scanner: Wir führen eine ganz neue integrierte Funktion innerhalb des KeyTalk CKMS ein, um Netzwerkzertifikate effizient zu scannen und zu importieren, sodass Ihre Netzwerksicherheit immer auf dem neuesten Stand ist.
  2. Azure KeyVault-Integration: Die nahtlose Integration von KeyTalk mit Azure KeyVault wird die auf Cloud basierende Sicherheit verbessern und das Zertifikatsmanagement robuster und effizienter machen.
  3. Erweiterte Load Balancer-Unterstützung für Citrix NetScaler: Unsere Unterstützung wird erweitert, um Citrix NetScaler einzubeziehen, und bietet mehr Optionen für Load-Balancing-Lösungen.
  4. Erweiterte Unterstützung für Automatisierung von DV-Zertifikaten: Wir verbessern unsere Automatisierung von Domain Validated (DV)-Zertifikaten mit automatisierter DNS-Validierung für auf Azure und AWS basierendes DNS, wodurch der Validierungsprozess vollständig automatisiert wird.
  5. Verbesserte Rollen, Autorisierungen und Workflow-Management: Erwarten Sie mehr Flexibilität und Kontrolle mit unseren verbesserten Funktionen für Rollen, Autorisierungen und Workflow-Management, die auf die vielfältigen organisatorischen Bedürfnisse zugeschnitten sind.
  6. Unterstützung für ACME für Client-Zertifikate mit ACME-Device-Attestation: In unserem Engagement für Vielseitigkeit und fortschrittliche Technologie implementieren wir ACME-Unterstützung für Client-Zertifikate, wobei ACME-Device-Attestation für erhöhte Sicherheit verwendet wird.
  7. Unterstützung für EST- und CMPv2-Protokoll: Durch die Unterstützung des EST- und CMPv2-Protokolls verbessert KeyTalk seine Fähigkeiten im Bereich des Zertifikatsmanagements und Verschlüsselungsstandards.
  8. Hinzufügung von HSM Key Attestation: Mit der Hinzufügung von Hardware Security Module (HSM) Key Attestation verstärken wir weiterhin die Sicherheit und Integrität von kryptografischen Schlüsseln.

 

Bei KeyTalk entwickeln wir uns kontinuierlich weiter, um mit den neuesten Trends und Technologien in der Cybersicherheit Schritt zu halten. Unser Ziel ist es, unseren Kunden die effizientesten und sichersten Lösungen zu bieten, und unser Fahrplan für 2024 ist ein Zeugnis dieser Verpflichtung. Bleiben Sie dran für weitere Updates und Durchbrüche im kommenden Jahr! Für weitere Informationen über diese bevorstehenden Funktionen oder Fragen zu unseren Dienstleistungen, kontaktieren Sie uns gerne. Wir sind hier, um Sie durch die fortgeschrittene Landschaft der Cybersicherheit zu führen.

 

Das KeyTalk-Team