TLS/SSL und HTTPS sind Geschwister, aber sie sind keineswegs identisch – und das gilt auch für ihre Sicherheit. Oft wird jedoch die Bedeutung dieser Unterschiede vernachlässigt, wenn Sicherheitsadministratoren davon ausgehen, dass die Verschlüsselung ausreichend ist. Jüngste Entwicklungen bei führenden Browser-Anbietern werfen jedoch Zweifel auf, was die Sicherheit betrifft. Daher lohnt es sich, einen genaueren Blick auf diese Thematik zu werfen.
Die Herausforderungen bei der Verwaltung von TLS-Maschinenidentitäten
Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn Zertifikate nicht rechtzeitig erneuert werden, können sie den Ausfall einer Website oder Anwendung verursachen, die sie schützen sollen. Diese Herausforderungen werfen Fragen darüber auf, wie Unternehmen mit den aktuellen Entwicklungen umgehen sollten.
TLS vs. HTTPS: Was ist der Unterschied?
Obwohl HTTPS und TLS/SSL eng miteinander verwandt sind und oft gemeinsam verwendet werden, handelt es sich um verschiedene Protokolle. HTTPS (Hypertext Transfer Protocol Secure) kommt ins Spiel, wenn Websites ordnungsgemäß mit TLS/SSL-Sicherheitszertifikaten geschützt sind. Ursprünglich stand das „S“ in HTTPS für „sicher“ und bezog sich auf den Sicherheitsaspekt des HTTPS-Protokolls, der die Datenverschlüsselung ermöglichte. Allerdings wurde SSL inzwischen durch Transport Layer Security (TLS) ersetzt, eine aktualisierte und sicherere Version von SSL.
TLS: Das moderne Verschlüsselungsprotokoll
Im Gegensatz dazu handelt es sich bei TLS um das neuere kryptografische Protokoll, das SSL als Mittel zur Gewährleistung der Kommunikationssicherheit in Computernetzen abgelöst hat. TLS wird häufig in Verbindung mit HTTPS eingesetzt, um die Vertraulichkeit, Integrität und Authentizität von Daten sicherzustellen, die zwischen verschiedenen Computeranwendungen über das Internet ausgetauscht werden. Dieses Protokoll verwendet einen Handshake-Mechanismus zur Authentifizierung autorisierter Geräte und ermöglicht sichere Kommunikation im Internet. TLS stellt sicher, dass Daten nur für berechtigte Benutzer lesbar sind und verhindert, dass Hacker übertragene Daten, einschließlich sensibler Informationen, einsehen oder stehlen können.
Die Rolle von TLS/SSL und HTTPS in der Sicherheit
HTTPS ist eine Kombination aus HTTP und TLS/SSL-Protokollen und dient der Verschlüsselung der Kommunikation zwischen Server und Browser. TLS hingegen ist das moderne Verschlüsselungsprotokoll, das die Basis für sichere Internetkommunikation bildet. Hier ist ein Vergleich beider Protokolle, um ihre Unterschiede deutlicher zu machen.
Die steigende Bedeutung von TLS-Zertifikaten
Die Einführung von HTTPS und TLS/SSL war äußerst erfolgreich, und heute verwenden etwa 95 Prozent der Websites das HTTPS-Protokoll. Dies bedeutet jedoch auch, dass wesentlich mehr TLS-Zertifikate oder Maschinenidentitäten im Einsatz sind als je zuvor. Laut einer Studie von Venafi erwarten 1.000 CIOs, dass sich ihr Bestand an Maschinenidentitäten im kommenden Jahr um mehr als das Doppelte auf 500.000 erhöhen wird.
Die Verwaltung einer so großen Anzahl von TLS-Maschinenidentitäten ist jedoch eine komplexe Aufgabe. Wenn diese Zertifikate nicht rechtzeitig erneuert werden, kann dies zu Ausfällen von Websites oder Anwendungen führen. Trotz der Verfügbarkeit vieler Sicherheits-, Identitäts- und Zugriffsverwaltungslösungen bleiben Zertifikatsausfälle eine Herausforderung für Unternehmen aller Größen. 83 Prozent der Unternehmen gaben an, in den letzten 12 Monaten mindestens einen Ausfall im Zusammenhang mit Maschinenidentitäten gehabt zu haben, wobei mehr als ein Viertel kritische Systeme betroffen sahen.
Schlussfolgerung
In der genannten Studie gaben fast zwei Drittel der CIOs zu, dass ihre Unternehmen keine umfassende Lösung für das Management von Maschinenidentitäten verwenden, sondern auf verschiedene Lösungen und Prozesse setzen, darunter Dienste von Zertifizierungsstellen (CAs), öffentliche Cloud-Anbieter, selbst entwickelte Lösungen und manuelle Prozesse. Dieser fragmentierte Ansatz bietet jedoch weder einen ganzheitlichen Überblick über alle Maschinenidentitäten noch die erforderlichen Mechanismen zur Durchsetzung von Konfigurations- oder Richtlinienanforderungen.