- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Arbeiten mit Zertifikaten unterschiedlicher CAs


SSL-Anbieter wechseln: Eine komplette Anleitung in vier Schritten
Vorhandene Zertifikate, Bedürfnisse und tatsächliche Verwendung überprüfen und bewerten

(20.04.16) - Immer wieder gibt einen gewissen Hype um das Thema "Managed SSL-Anbieter wechseln". Wenn man eine Reihe von Vorüberlegungen anstellt und entsprechend plant ist ein Wechsel aber nicht annähernd so kompliziert wie manche glauben machen wollen. Man sollte vor allem die Voraussetzungen in Bezug auf Ressourcen, Kosten und die aufzuwendenden Vorbereitungen durchdacht haben. Jeder Wechsel folgt einem ganz bestimmten Schema. GMO GlobalSign gibt Ihnen hier einen kurzen Überblick darüber, was Sie tun müssen, um einen Wechsel so reibungslos wie möglich zu machen.

Schritt 1 - Vorhandene Zertifikate, Bedürfnisse und tatsächliche Verwendung überprüfen und bewerten.
Will man den Managed SSL-Anbieter wechseln, sollte man zunächst die aktuelle SSL-Nutzung und Umgebung erfassen. Nur so kann man die für einen Wechsel anfallende Zeit und die Kosten realistisch einschätzen.

Alle Zertifikate inventarisieren
Bestimmen Sie alle aktuellen Zertifikate genau, damit Sie wissen, welche ersetzt werden müssen. Firmen oder größere Unternehmen haben meistens sehr viele aktive SSL-Zertifikate in ihren Umgebungen, die alle berücksichtigt werden müssen. Für den Wechsel sollten sämtliche Zertifikate lokalisiert sein. So vermeiden Sie, dass eventuell Zertifikate bereits abgelaufen sind, was zu Lücken bei der Abdeckung, Netzwerkausfällen oder möglichen Compliance-Problemen führen kann. Mit einem Tool wie dem kostenfreien Certificate Inventory Tool lassen sich solche Checks durchführen.

Interne und externe Nutzung
Es gibt verschiedene Sicherheitsebenen und Features, die von den unterschiedlichen CAs angeboten werden. Nehmen Sie sich Zeit die Angebote sorgfältig zu prüfen, damit sie auch tatsächlich zum Anforderungsprofil Ihres Unternehmens passen.

>> Öffentlich zugängliche Websites erfordern einen höheren Sicherheitslevel. Sie sollten mit einem Zertifikat einer bewährten Zertifizierungsstelle gesichert werden.

>> Interne Sites brauchen tatsächlich nur Verschlüsselungsfunktionen. Hier können Sie durchaus einfachere Zertifikate einsetzen, die weniger Funktionen haben.

Arbeiten mit Zertifikaten unterschiedlicher CAs
Es gibt einige Gründe, warum Unternehmen mit Zertifikaten unterschiedlicher Zertifizierungsstellen arbeiten:

>> Unterschiedliche Personen oder Abteilungen haben Zertifikate separat von verschiedenen Anbietern gekauft.

>> Unterschiedliche CAs als Folge von Fusionen, Übernahmen oder Integrationen.

Hat man es mit mehreren CAs zu tun, kann das die Bestandsaufnahme erschweren. Tools wie das schon erwähnte kostenfreie Certificate Inventory Tool helfen, das Netzwerk zu kategorisieren und alle vorhandenen Zertifikate zu finden, unabhängig von der ausstellenden CA. So erhalten Sie ein vollständiges Inventar, auf das Sie beim Wechsel zu einem anderen MSSL-Anbieter zurückgreifen können. Sind Sie sicher, dass alle vorhandenen SSL-Zertifikate bei der gleichen CA gekauft wurden, können Sie einfach eine Liste aller Zertifikate von diesem Konto herunterladen. Damit erhalten Sie ein Protokoll aller bisherigen Käufe und Sie müssen sich während des Migrationsprozesses nicht auf das alte Konto verlassen.

Administratoren, Server & Anwendungen
>> Sie müssen festlegen, wer das neue Konto verwalten soll. Die Person oder auch mehrere Personen sollte/n Zeit genug haben, sich mit der neuen Plattform eingehend vertraut zu machen. Diese Schulungszeit sollten Sie fest einplanen und nicht zu knapp bemessen.

>> Dann müssen Sie die Anzahl und Art der Server und Anwendungen für die Sie Zertifikate haben, eingehend evaluieren. So finden Sie ziemlich genau heraus, was Sie beim tatsächlichen Wechsel des Managed SSL-Dienstleisters erwartet. Ein Beispiel ist, dass Sie eventuell den Austausch manuell vornehmen müssen, je nach Art des Servers, auf dem das Zertifikat installiert ist.

Schritt 2 – Zertifikatserneuerung und nächste Schritte
Machen Sie sich einen genauen Plan wie Sie in Zukunft Zertifikatserneuerungen handhaben wollen, bevor Sie den Managed SSL-Anbieter wechseln. Die meisten CAs sollten die folgenden Verfahren für Erneuerungen und Ersatz anbieten:

>> Übergangsmodell: Erneuerungen werden individuell behandelt: Jedes Zertifikat wird ersetzt, wenn das Ablaufdatum heranrückt. Bei diesem Verfahren ist ein genauer Zertifikatbericht mit den Ablaufdaten sehr wichtig. Es sollte klar zugeordnet sein, wessen Aufgabe es ist, Erneuerungen zu verwalten. Dieses Modell spart in der ersten Zeit nach dem Wechsel Zeit beim Installieren von Zertifikaten. Aber man muss die Ablaufzeiten sorgfältig überwachen bis alle Zertifikate unter dem neuen Verwaltungskonto erneuert sind.

>> "Wegwerfen & Ersetzen"-Modell: Das ist genau das, wonach es sich anhört: Sie ersetzen alle Zertifikate auf einmal. Das erfordert anfangs mehr Zeit und Ressourcen, aber Sie müssen sich keine Gedanken über Ablaufdaten und die Überwachung alter Zertifikate über deren gesamten Lebenszyklus hinweg zu machen. Die Sorge sich auf zwei unterschiedliche Plattformen verlassen zu müssen entfällt. Es gibt CAs, die ein Tauschmodell anbieten bei dem Sie die verbleibende Gültigkeitsdauer eines bestehenden Zertifikats ohne Aufpreis auf das neue Zertifikat anrechnen lassen können.

>> Einarbeitung in die neue Plattform: Sie müssen genau wissen wie viele Benutzer Sie haben, sowie deren Aufgaben und Zuständigkeiten erfassen. Achten Sie darauf, Schulungszeiten im finalen Zeitplan für den Wechsel zu berücksichtigen. Der Administrator des neuen Kontos braucht eventuell eine intensivere Schulung als jemand, der zum Beispiel nur Bestellungen aufgibt.

Erfassen aller API-Integrationen
Wenn Sie bei Ihrer derzeitigen CA API-Integration verwenden, muss es eine ähnliche Integration bei der potenziellen neuen CA geben. Die sollte zufriedenstellende API-Unterlagen vorlegen können sowie Support und Beratung während des Einarbeitungsprozesses anbieten.

Schritt 3 – Abschätzen der anfallenden Kosten
Inzwischen haben Sie wahrscheinlich schon eine vergleichsweise genaue Vorstellung von der Tragweite des Wechsels und können die mit dem Wechsel verbundenen Kosten besser abschätzen. Achten Sie auf die folgenden anfallenden Kosten:

>> Investitionen: Einmalige Investitionen (je nach gewählter CA): Inventur-Tool für Zertifikate, Zertifikat-Verwaltungstool und Entwicklungskosten für die API-Integration.

>> Betriebskosten: Laufende Kosten aus betriebswirtschaftlicher Sicht: die Zeit, die die Kontonutzer benötigen, um sich mit der neuen Verwaltungsplattform vertraut zu machen, zum Delegieren von Zuständigkeiten usw. Die Schulungszeit variiert je nach individuellen Zuständigkeiten.

>> Jährliche Zertifikatkosten: Während Ihrer Evaluierung müssen Sie die Kosten aller Produkte berücksichtigen. Und zwar im Hinblick auf den Nutzen, den bestimmte Funktionen und Merkmale für Ihr Unternehmen haben.

>> Produktdefinitionen: Jede CA definiert ihre Produkte anders. Sie sollten das Produktangebot vollständig evaluieren und sicher sein, dass das Zertifikat Ihre Bedürfnisse erfüllt, und auch, dass es keine unnötigen kostenpflichtigen Add-ons enthält.

>> Einrichtungsgebühren: Sämtliche Einrichtungsgebühren, die erforderlich sind.

Schritt 4 - Optionen und Vorteile
Wenn Sie Managed SSL-Anbieter vergleichen, machen Sie sich klar, dass Sie nicht einfach nur ein Produkt, sondern einen Geschäftspartner wählen. Ihr Unternehmen ist von dieser CA abhängig, noch lange nachdem sie die Zertifikate ausgestellt hat. Der Anbieter Ihrer Wahl sollte natürlich SSL-Zertifikate mit allen Funktionen anbieten, die Sie brauchen.

Im Idealfall kann eine CA aber mehr:
>> Fundierte Beratung zu Sicherheitsinitiativen anbieten.
>> Bei Empfehlungen die konkreten Unternehmensbedürfnisse berücksichtigen.
>> Sie mit Tools ausstatten, um zu verifizieren, ob Ihre Webserver-Konfiguration optimiert wurde,
(GMO GlobalSign: ra)

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.