Entwicklung von TLS und SSL: Ein Überblick

Dean Coclin CISSP, Vorsitzender des CA/Browser Forums, und Jeff Barto, CSMIE, haben gemeinsam die neuesten Trends und Entwicklungen aus dem SSL-,TLS- und S/MIME-Bereich in einem Webinar von DigiCert vorgestellt. Neben der Forderung nach einer automatisierten Zertifikatsausstellung wurde außerdem erläutert, warum Certificate Pinning unbedingt vermieden werden sollte.

Immer mehr Websites sind verschlüsselt

Die Anzahl verschlüsselter Websites ist laut DigiCert in den vergangenen drei Jahren immens gestiegen. Allein zwischen 2019 und 2020 wurden über 30 Mio. Zertifikate ausgestellt.
Inzwischen seien 90 % der Websites verschlüsselt und für das zweite Halbjahr 2020 sowie 2021 erwartet DigiCert weiteres Wachstum.

Nach dem zweiten Quartal 2020 waren weltweit über 86,6 Mio Zertifikate ausgestellt. Im ersten Halbjahr 2020 konnte DigiCert 3,2 Mio. neue Zertifikate ausstellen. Im Jahresvergleich (August 2019 bis August 2020) wurden weltweit 9 Mio. Zertifikate ausgestellt.

Notwendigkeit der Automatisierung

Die meistgenutzten Browser, darunter Apple Safari, Google Chrome und Mozilla Firefox, haben sich für die Verkürzung von Zertifikatslaufzeiten ausgesprochen. In diesem Jahr wurde die Gültigkeit bereits von zwei Jahren auf ein Jahr gesenkt. In der Diskussion sind nun Laufzeiten von sechs und drei Monaten. Eine Automatisierung der Verarbeitung, Authentifizierung und Ausstellung wird erforderlich werden und für diese Services bedarf es laut Coclin und Barto einer Regelkonformität.

Auf Seite der Website-Betreiber gewinnt die automatisierte Einbindung von Zertifikaten an Bedeutung. So können Zeit und Ressourcen eingespart werden, die durch die Laufzeitverkürzung sehr viel häufiger anfallen als zuvor.

Vorsicht beim Certificate Pinning

DigiCert wies in dem Webinar nochmal ausdrücklich auf die Gefahren des Certificate Pinnings hin: Das “Anheften” von Zertifikaten, berge bei verkehrter Einbindung viele Risiken.
Durch das Certificate Pinning sollte beschränkt werden, welche Zertifikate für eine bestimmte Website als gültig betrachtet werden, um das Sicherheitsrisiko zu begrenzen Das Pinning hat allerdings gegenteilig Sicherheitslücken freigelegt.
Wegen der Schwierigkeiten bei der sicheren Umsetzung von Pinning gab es extrem viele Fälle, in denen Websites geschädigt statt geschützt wurden. Wird das Pinning falsch umgesetzt, kann z. B. der Zugang zur eigenen Website blockiert werden.

Du hast Fragen zu den aktuellsten TLS- und SSL-Trends? Dein Partner Manager hilft dir gern weiter.

Zu meinem Partner Manager