Seit der Einführung von SSL durch Netscape im Jahr 1994 sind die digitalen Zertifikate zusammen mit dem gesamten Web gewachsen. Durch Versuche und Irrtümer, Innovationen und Anpassungen wurden die SSL-Zertifikate ständig weiterentwickelt, um den strengsten Sicherheitsanforderungen zu genügen.
Die Verkürzung der SSL-Gültigkeit auf ein Jahr und die Beseitigung der grünen Adressleiste bei Extended Validation-Zertifikaten sind nur einige der jüngsten Änderungen, die das CA/Browser Forum vorgenommen hat, um den Cyber-Bedrohungen einen Schritt voraus zu sein und die digitale Verschlüsselung berechenbarer zu machen. In der Welt der Zertifizierungsstellen ist der Wandel die einzige Konstante.
Das Feld Organisationseinheit (OU) ist nichts, was man direkt mit SSL-Sicherheit in Verbindung bringen würde, zumal es von Anfang an Teil des SSL-Bestellprozesses war. Doch nun läuft die Zeit des OU-Feldes ab, und die zuständigen Behörden werden es bis Ende August 2022 abschaffen. Was ist also der Grund für die Beseitigung eines scheinbar harmlosen Feldes? Um ein vollständiges Bild zu erhalten, sollten wir herausfinden, was der ursprüngliche Zweck des OU-Feldes war.
Die Felder der Organisationseinheit – ein kurzer Überblick
Jedes Mal, wenn Sie ein SSL-Zertifikat bestellen, müssen Sie eine Zertifikatsanforderung (Certificate Signing Request, CSR) erstellen und die Felder mit Ihren Kontaktdaten als Teil des Validierungsprozesses ausfüllen. Der CSR enthält Angaben zu Ihrem Unternehmen, Ihrem Wohnsitzland und dem Domainnamen, den Sie sich sichern möchten. Zu den Feldern, die Sie ausfüllen müssen, gehört auch das Feld Organisationseinheit. Sie können praktisch alle Daten eingeben, die Sie wollen, und genau das macht sie vage und irreführend.
Ursprünglich sollte das OU-Feld als Platzhalter dienen, in dem die Unternehmen relevante Daten über das Zertifikat und dessen Verwendungszweck eintragen konnten. Eine gängige Praxis ist die Aufnahme von Referenzdaten für die Rechnungsstellung, damit die Finanzabteilung weiß, wer das Zertifikat gekauft hat.
Wenn Sie diesem Beispiel folgen würden, würden Sie etwas wie “IT” oder “Sicherheit” in das OE-Feld schreiben. Aber nichts hindert Sie daran, alles einzugeben, was Sie wollen, von Ländernamen bis hin zu Zeichentrickfiguren. Wenn Ihr Unternehmen seinen Hauptsitz in den USA hat, die Zertifikate aber von einer internationalen Niederlassung verwaltet werden, könnten Sie etwas wie “Frankreich” oder “Übersee” eingeben. Und genau hier kann die Zweideutigkeit des OU-Feldes die Benutzer verwirren.
Angenommen, einer der Kunden Ihres Unternehmens ist Delta Air Lines. Wenn Sie es in das OU-Feld einfügen würden, würden einige Benutzer denken, dass das Zertifikat zu Delta Air Lines gehört und nicht zu Ihrer Organisation. Und auch wenn dies ein extremes Beispiel zu sein scheint, so ist das OU-Feld aufgrund seines fakultativen Charakters anfällig für Verwirrung und Fehlinterpretationen – Dinge, die in der modernen Cybersicherheit nicht akzeptabel sind.
Potenzielle Sicherheitslücken
SSL-Zertifikate sind heute für alle Arten von Websites erforderlich. Unternehmen setzen Hunderte von Zertifikaten ein, um ihre Sicherheitsanforderungen zu erfüllen, aber nicht jeder befolgt die besten SSL-Verwaltungspraktiken. Laut einem Detectify Labs Bericht dass der Einsatz dieser Zertifikate Gefahren birgt, die dazu führen können, dass Unternehmensdaten von böswilligen Akteuren preisgegeben oder kompromittiert werden”.
Detectify hat über 900 Millionen SSL-Zertifikate analysiert und die Hauptrisiken im Zusammenhang mit SSL hervorgehoben. Im Zusammenhang mit dem Bereich der OE ist die folgende Schlussfolgerung von Bedeutung:
“Die Analysten stellten fest, dass die überwältigende Mehrheit der neu zertifizierten Domänen beschreibende Namen erhalten hatte. Das mag harmlos klingen, kann aber tatsächlich ein Risiko für Geschäftsinformationen darstellen.
Wenn das Zertifikat in einem Entwicklungsstadium ausgestellt wird, haben die Konkurrenten möglicherweise genügend Zeit, neue Unternehmen oder Produkte zu untergraben, bevor sie auf den Markt kommen. Aber selbst wenn Sie sich für zufällige Zeichenfolgen statt für beschreibende Produkte entschieden haben, könnte eine zufällige Information im OU-Feld, die während des Bestellvorgangs eingegeben wird, möglicherweise einige Ihrer Geheimnisse verraten.
Zeit, sich zu verabschieden
Da die Cyberbedrohungen täglich zunehmen, machen die Zertifizierungsstellen Überstunden, um die Sicherheitsprotokolle für SSL-Zertifikate zu optimieren und zu stärken. Da alte Konzepte und Elemente veraltet sind, ist der Ansatz “weniger ist mehr” ein effizienter Weg, um Verwirrung und potenzielle Schlupflöcher für Hacker zu beseitigen.
In den späten Neunzigern und frühen Nullerjahren gab es nur eine Handvoll CAs auf dem Markt, und die Zahl der Unternehmen, die SSL anforderten, war deutlich geringer. Ursprünglich sollten die wenigen bestehenden Zertifizierungsstellen von den Browsern manuell überprüft werden, um das Vertrauen zu stärken, dass die Zertifizierungsstellen alles so sicher wie möglich machen. Doch mit dem Aufkommen von SSL-Zertifikaten ist diese Aufgabe immer schwieriger geworden.
Das Problem mit dem OU-Feld besteht darin, dass die Zertifizierungsstellen die Identität des Zertifikatssubjekts innerhalb des Subjektnamens des Zertifikats überprüfen und bestätigen müssen. Der Bereich der OE hingegen ist keine genaue Beschreibung, auch wenn er einen kleineren Teil der Organisation ausmacht. Die CAs haben keine Methoden, um den kleineren Teil der Organisation konsequent zu überprüfen und seine Identität zu bestätigen.
Das Leben nach dem OU-Umzug
Wie wird sich die Abschaffung des OE-Feldes auf die Unternehmen auswirken? Hier finden Sie alles, was Sie über die bevorstehende Änderung wissen müssen:
- Um den Industriestandards zu entsprechen, werden die Zertifizierungsstellen das Feld Organisationseinheit (OU) für alle öffentlichen SSL-Zertifikate bis Ende August 2022 entfernen.
- Diese Änderung hat keine Auswirkungen auf bereits ausgestellte Zertifikate mit einem gültigen OU-Feld.
- Private SSL-Zertifikate oder andere Arten von Nicht-SSL-Zertifikaten sind davon nicht betroffen.
Schlussfolgerung
Die Webtechnologie entwickelt sich in rasantem Tempo weiter, und mit ihr werden auch die Cyber-Bedrohungen immer ausgefeilter. Bei der Webverschlüsselung müssen die Regulierungsbehörden proaktiv vorgehen und die Schwachstellen in den von ihnen regulierten Systemen erkennen.
Das Feld “Organisationseinheit” ist kein kritischer Teil des gesamten SSL-Bestellvorgangs und stellt daher eine potenzielle Gefahr dar. Die Beseitigung dieses Elements ist ein einfacher Weg, um Verwirrung zu vermeiden und die Validierungszeit zu verkürzen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
