Certificate Transparency

Fluch und Segen

Die Certificate Transparency sichert das TLS-Ökosystem im Internet weiter ab, indem unbefugt ausgestellte Zertifikate auffallen. Doch bietet diese Transparenz gleichzeitig Angreifern die Möglichkeit, gezielt nach Diensten wie etwa Videokonferenzsystemen zu suchen, die ungeschützt im Netz stehen. Administratoren sollten sich darüber im Klaren sein, dass dank Certificate Transparency vermeintlich vertrauliche Domains oder Subdomains bekannt sind, sobald für diese ein Zertifikat ausgestellt ist.
Ob die IT läuft oder nicht, sollte der Administrator im Idealfall nicht erst durch Beschwerden der Mitarbeiter erfahren. Eine proaktive Überwachung der ... (mehr)

Die im März dieses Jahres umgesetzten präventiven Maßnahmen zum Schutz vor Corona haben dazu geführt, dass die IT-Landschaft in vielen Ländern unerwartet auf den Kopf gestellt wurde. Plötzlich war Home Office auch in solchen Betrieben möglich, wo dies bis zu diesem Zeitpunkt undenkbar war. Angesichts der fehlenden Alternativen mussten viele Führungskräfte und IT-Abteilungen im Schnellverfahren neue Prozesse etablieren und die bestehende Infrastruktur erweitern. Im Eifer des Gefechts wurden viele neue Dienste aufgesetzt, zunächst zum Testen der Möglichkeiten.

Insbesondere im Bereich Tele- und Videokonferenzsysteme gab es viele Neuinstallationen. Etliche davon sind als dauerhaftes Provisorium erst einmal im Betrieb geblieben – abgesichert mit einem Let's-Encrypt-Zertifikat, aber ohne weiteren Schutz und häufig sogar ganz ohne Login nutzbar. Da der Dienst nirgendwo verlinkt wird und lediglich intern zum Einsatz kommt, haben viele Administratoren aus Gründen der einfachen Nutzbarkeit, und weil sie bei der Umstellung noch viele andere Aufgaben hatten, beim Übergang darauf verzichtet, diesen Zustand zu verändern und die Dienste sinnvoll abzusichern.

Gefälschte Zertifikate erkennen

In den letzten Jahren gab es viel Bewegung im Ökosystem von TLS-Zertifikaten. Der Dienst Let's Encrypt hat seit 2014 den gesamten Markt für Zertifikate revolutioniert. Ohne großen Setup-Aufwand und ohne Kosten können Administratoren damit die Kommunikation ihrer Webdienste absichern. Laut Censys-Webseite [1] hat Let's Encrypt bei vertrauenswürdigen Webseiten einen Marktanteil von über 50 Prozent. Mit etwas weniger öffentlicher Aufmerksamkeit wurde bereits im Jahr 2013 das maßgeblich von Google vorangetriebene Konzept der Certificate Transparency umgesetzt.

Die Motivation für Certificate Transparency hat ihren Ursprung bereits im Jahr 2011. Nach einem Einbruch beim Zertifikataussteller

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020