Professionelle Verwaltung von Zertifikaten ist nichts Schwieriges – eignen Sie sie sich mit ein paar Tipps ein

25.10.2021 | Petra Alm

Im vergangenen Jahr mussten sich mit Folgen eines falschen Umgangs mit dem Zertifikat unglaubliche 60 % von Firmen auseinandersetzen. Das installierte Zertifikat beeinflusst Anwendungen und Dienste des gegebenen Servers und falls es falsch genutzt wird, kann es logischerweise auch zu ihrem Ausfall kommen. In dem folgenden Artikel beraten wir Sie, wie Sie mit dem Zertifikat arbeiten sollten, denn mit der Installierung endet seine Verwaltung nicht. Dank einem paar Tipps können Sie verhindern, dass auch Sie ein Fall für die Statistik werden, und gleichzeitig können Sie die Absicherung, die Ihnen das Zertifikat bringt, maximieren.

Verschaffen Sie sich eine Übersicht über alle Ihre Zertifikate

Wissen Sie, welche Ihre Zertifikate online und eingesetzt sind? Ihre Anzahl kann Sie überraschen, vergessen dürfen wir doch nicht die weniger auffälligen Zertifikate für Subdomains, interne Zwecke und Mailserver. Damit Sie nach den ausgestellten Zertifikaten nicht im Gedächtnis jagen und ihre Liste erstellen müssen, nutzen Sie einen der sog. Network Scanner aus, welche für Sie die in Ihrem Netzwerk verfügbaren Zertifikate umgehend auflisten. Online aufrufbare Scanner gibt es mehrere, probieren Sie zum Beispiel Cryptonice aus, zum welchen Ihnen auch eine detaillierte Anleitung zur Verfügung steht.

Mit den Zertifikaten werden Sie auch dank den Tools auf Ihrem Kundenkonto bei SSLmarket Schritt halten können. Sie können hier eine Liste aller ausgestellten Zertifikate herunterladen und Zusendung von Hinweisen auf ihr Ablaufdatum einstellen, die wir Ihnen per E-Mail oder SMS zusenden können. Von Nutzen kann Ihnen auch unser online Kalender sein, individueller für jedes Konto. Sie abonnieren ihn für Ihr Handy oder Desktop und finden dort jedes mit dem Zertifikat zusammenhängende Ereignis.

Versichern Sie sich die Kontaktpersonen

Es ist für den Fall vorzusorgen, dass der/die Angestellte, der/die in der Bestellung als die Kontaktperson für Autorisierung und gleichzeitig die technische Kontaktperson aufgeführt ist, Ihre Firma verlässt. Wenn dies passiert, wird die Zertifizierungsstelle auf das sich nähernde Ablaufdatum des Zertifikats oder ein anderes Ereignis nur ein nicht mehr benutztes Postfach hinweisen können und das Zertifikat kann ohne Ihr Bewusstsein z. B. ablaufen. Die einfaschte Lösung ist es, in der Bestellung zwischen der Autorisierungsperson und der technischen Kontaktperson zu unterscheiden und in Ihrer SSLmarket Verwaltung Zusendung der E-Mail-Benachrichtigungen an beide Kontakte einzustellen. Hinzufügen können Sie sogar auch weitere E-Mail-Adressen, die wir kontaktieren werden und die mit den in der Bestellung aufgeführten Personen nicht zusammenhängen müssen.

Vorsicht bei Wildcard Zertifikaten

Es ist gut bekannt, dass ein Wildcard Zertifikat sowohl für die Hauptdomain, als auch für eine unbegrenzte Menge ihrer Subdomains genutzt werden kann. Welche Folgen hätte dann aber der Diebstahl des privaten Schlüssels? Die Angreifer könnten das kompromittierte Zertifikat für jegliche Website in der Domain missbrauchen, für die das Zertifikat ausgestellt worden ist.

Eine weitere Gefahr des Wildcard Zertifikats besteht darin, dass im Fall seiner Kompromittierung alle seine Kopien, die auf den Subdomains eingesetzt sind, widerrufen und neuausgestellt werden müssen. Beiden Szenarios, wegen welcher die Wildcards nicht in der EV-Variante ausgestellt werden können, lässt sich dadurch vorbeugen, dass jede Kopie des Zertifikats mit einem anderen privaten Schlüssel ausgestellt wird. In der SSLmarket Verwaltung, wo Sie eine unbegrenzte Menge von Schlüsseln erstellen und mit ihnen das Zertifikat neuausstellen können, ist diese Best Practice einfach und kostenlos.

Schauen Sie nach Default-Zertifikaten

Zum Beispiel auf Plesk, aber auch auf anderen Systemen, finden Sie sog. Default-Zertifikate. Diese Zertifikate sind typischerweise selfsigned, selbstsigniert, und für Browser deshalb nicht vertrauenswürdig, für Unternehmenszwecke wurden Sie aber auch nicht vorgesehen. Diese Zertifikate müssen entfernt und durch ein vertrauenswürdiges SSL/TLS-Zertifikat ersetzt werden. Überprüfen Sie in unserem Checker, ob die richtige Installierung des erworbenen SSL/TLS-Zertifikats nicht von einem solchen Default-Zertifikat blockiert wird.

Halten Sie Ihre Servereinstellung aktuell

Es ist einfach. Veraltet und anfällig sind die folgenden Versionen des SSL/TLS Protokolls. Deaktivieren sie Sie:

  • SSL v2
  • SSL v3
  • TLS 1.0
  • TLS 1.1

Anstatt dieser aktivieren Sie TLS 1.2 und TLS 1.3.

Von den Ciphersuiten deaktivieren Sie:

  • DES
  • 3DES
  • RC

Richtig wird das Zertifikat nur auf solchem Server funktionieren, welcher die aktuellen Versionen des Protokolls SSL/TLS und der Ciphersuite unterstützt. Falls Sie können, schalten Sie auch die Protokolle hhtp/2 und das zukünftige http/3 ein. Zusammen mit TLS 1.3 werden sie den verschlüsselten Datenaustausch beschleunigen. Als Leitfaden für die Einstellung der Konfiguration empfehlen wir Ihnen auf jeden Fall das Tool SSL Configuration Generator.

Kümmern Sie sich um den privaten Schlüssel

Beim Umgang mit dem privaten Schlüssel scheuen Sie nicht die Zeit, die sie in seine sichere Speicherung oder seine weitere Verwaltung investieren. Wir empfehlen Ihnen:

Das Zertifikat verlängern Sie mit einem neuen Schlüsselpaar. Verlängern Sie es nicht mit dem ursprünglichen CSR-Code, weil Sie dadurch automatisch den ursprünglichen privaten Schlüssel rezyklieren.

Falls die Autorisierungsperson oder die technische Kontaktperson Ihre Firma verlässt, beantragen Sie eine Neuausstellung des Zertifikats mit einem neuen privaten Schlüssel.

Falls Sie sich die Dateien mit dem Zertifikat oder mit dem privaten Schlüssel untereinander per E-Mail übergeben möchten, dann nur per eine verschlüsselte. Ihre Post werden Sie mit den S/MIME Zertifikaten verschlüsseln können; wir helfen Ihnen gerne, sie einzusetzen.

Stellen Sie einen CAA-Eintrag ein

Certificate Authority Authorization stellt einen Typ des DNS-Eintrags dar, welcher definiert, welche Zertifizierungsstellen für die in dem Eintrag aufgeführten Domains Zertifikate ausstellen können. Nach dem CAA-Eintrag müssen sich seit dem Jahr 2017 alle CAs richten. Stellen Sie einen CAA-Eintrag ein, weil ohne ihn für ihre Domain die Zertifikate jegliche Zertifizierungsstelle ausstellen kann. Wie das zu tun ist erfahren Sie in unserem Artikel.

Tipp zum Schluss

Fürchten Sie nicht die ECC-Kryptographie zu nutzen, sie wird die Kommunikation zwischen dem Server und Client beschleunigen. Die ECC-Kryptographie nutzt auf elliptischen Kurven basierte Schlüssel aus, deren Unterstützung heute schon problemlos ist, auf SSLmarket sogar Bestandteil aller angebotenen Zertifikate.

Und weiter?

Aktuell empfohlene Maßnahmen, sog. Best Practices, finden Sie auf https://www.ssllabs.com/projects/best-practices/index.html

Weitere Aspekte der Serverabsicherung und praktische Tests auf SSLlabs.com.

Mit unseren Tipps werden Sie die Verwaltung Ihrer Zertifikate hoffentlich einfach verbessern können und aus ihnen das Maximum gewinnen. Mit jeglichem Schritt helfen wir Ihnen natürlich gerne weiter, Sie brauchen uns nur zu kontaktieren.

Quelle:

https://www.digicert.com/security/tls-best-practice