PKI-Automatisierung: GMO GlobalSign K.K. , eine globale Zertifizierungsstelle (CA) und Anbieter von Identitätssicherheits-, digitalem Signier- und IoT-Lösungen, gab die Ergebnisse einer Umfrage unter Unternehmen bekannt, die auf Public Key Infrastructure-(PKI)-Produkte und -Lösungen angewiesen sind. Den mehr als 100 Befragten zufolge sind viele Organisationen nicht auf die weitreichenden Veränderungen in der Branche vorbereitet, die eine vorgeschriebene Automatisierung von Zertifikaten erfordern.
Veränderungen auf dem Parkt für PKI-Automatisierung
Wie in einer früheren Mitteilung erwähnt, könnte es im restlichen Verlauf dieses Jahres und bis ins Jahr 2024 hinein zu bedeutenden Veränderungen auf dem PKI-Markt mit Blick auf die PKI-Automatisierung kommen. Die dringlichste Entwicklung ist dabei der Schritt von Google, die Laufzeit von SSL/TLS-Zertifikaten zu verkürzen. Die Automatisierung der Zertifikatsverwaltung ist die Lösung, um dieser Forderung von Google und anderen Browsern nachzukommen. Dies bereitet jedoch den Millionen von Unternehmen weltweit, die sich bei der Einhaltung von Sicherheitsvorschriften auf PKI verlassen, Sorgen. Denn viele von ihnen sind nicht beereit, diesen Schritt zu machen. Um ein Gefühl dafür zu bekommen, wie Unternehmen zu diesem Thema stehen, befragte GMO GlobalSign 1.000 Organisationen zu dieser Veränderung. Ungefähr 110 Unternehmen haben geantwortet.
Die wichtigsten Ergebnisse
GMO GlobalSign erkundigte sich nach den Herausforderungen, denen sich Unternehmen gegenübersehen, wenn Google die maximale Laufzeit von Zertifikaten auf 90 Tage reduziert.
- Fast ein Drittel der Befragten gab an, dass der erhöhte Verwaltungsaufwand und die Komplexität die größten Bedenken darstellen (30 Prozent). Ein weiteres Problem für die Befragten ist die Möglichkeit häufigerer Updates von Root-Zertifikaten, wie z. B. die für 2024 erwarteten Updates von Mozilla;
- Zwanzig Prozent der Umfrageteilnehmer waren der Meinung, dass ein Sieben-Jahres-Rhythmus für Root-Zertifikate handhabbar sei und keine nennenswerten Auswirkungen haben würde;
- Fünfzehn Prozent der Befragten zeigten sich über die Kosten und den Arbeitsaufwand besorgt. Dies betraf vor allem kleine Unternehmen und Websites, bei denen die zusätzlichen Kosten von den Eigentümern möglicherweise nicht gerechtfertigt werden könnten;
- Weitere dreißig Prozent äußerten Bedenken wegen älterer oder veralteter Systeme, häufigen Auslaufens sowie Sicherheits- und Compliance-Problemen.
Stolpersteine der PKI-Automatisierung
GMO GlobalSign fragte die Teilnehmer auch nach allgemeinen Hindernissen für die PKI-Automatisierung. Die Antworten wurden in fünf Bereiche eingeteilt: technische Einschränkungen und Kompatibilitätsprobleme, Sicherheit, Kosten- und Ressourcenbeschränkungen, Mangel an Wissen oder Expertise und Infrastruktur.
- Achtunddreißig Prozent waren der Ansicht, dass technische Einschränkungen und Kompatibilität die größten Hindernisse für die Automatisierung seien. Dazu gehören das Fehlen von Sofortlösungen für die Automatisierung der Zertifikatsverwaltung, eine fehlende Unterstützung für die automatische Verlängerung in bestimmten Systemen oder Umgebungen (wie Windows, IIS, Plesk) und die Inkompatibilität mancher Systeme mit automatisierten Standardlösungen.
- Ein Viertel der Befragten nannten Kosten- und Ressourcenbeschränkungen als potenzielle Hindernisse. Dazu gehören die Kosten, die mit der Entwicklung eines benutzerdefinierten Automatisierungssystems verbunden sind, und die Ressourcen, die für die Verwaltung und Wartung von Lösungen für die automatisierte Zertifikatsverwaltung erforderlich sind.
- Zwanzig Prozent der Teilnehmer gaben an, dass fehlendes Wissen oder Fachkenntnisse eine weitere potenzielle Herausforderung bei der Automatisierung von Zertifikaten darstelle. Dazu gehört, dass sie nicht wissen, ob die Systeme das Einfügen neuer Zertifikate und den Neustart von Diensten unterstützen, oder dass sie mit Automatisierung im Allgemeinen nicht vertraut sind.
- Zehn Prozent der Befragten nannten auch Sicherheitsbedenken, vor allem in Bezug auf die Verwaltung und Kontrolle eines vollautomatischen Systems, sowie die Notwendigkeit von Prüfnachweisen (Audit Trails), Sicherheitsgenehmigungen und Aufsicht bei freien öffentlichen CAs.
- Sieben Prozent äußerten auch Bedenken wegen der Grenzen der Infrastruktur. Dazu gehören Server, die sich hinter Firewalls mit strengen Richtlinien befinden, Geräte, die keine API oder eine andere Möglichkeit zur Verwaltung des Zertifikats bieten, und Netzwerke, die keinen Zugang zum Internet haben.
Es ist klar, dass es viele Herausforderungen bei der PKI-Automatisierung von Zertifikaten gibt, unabhängig davon, ob es sich um einen Konzern oder ein KMU handelt. Es müssen eine Menge Schritte getan werden, bevor die große Mehrheit der Kunden eine vollständige Automatisierung unterstützen kann, so Doug Beattie, Vice President, Product Management bei GMO GlobalSign.
Positiv ist, dass heute Tools zur Verfügung stehen, die den Druck der Zertifikatsautomatisierung nehmen. Unsere Produkte wie Automated Certificate Management Environment (ACME) können einem Unternehmen in diesem Prozess sehr behilflich sein. Unsere Branche hat keine Klarheit darüber, wann eine vorgeschriebene 90-Tage-Automatisierung Realität werden könnte, aber nach unserer Umfrage zu urteilen, sollten Organisationen mit Bedenken jetzt erste Schritte unternehmen. Auf lange Sicht wird es ihnen zugute kommen.
