Zum Inhalt springen
Besuchen Sie Censys für einen Bedrohungsabwehr Workshop & Happy Hour! | 17. April in der City Winery in Philadelphia | Jetzt anmelden
Blogs

Das TL;DR zur Zertifikathygiene und warum sie für die Verfügbarkeit Ihrer Website wichtig ist

Haben Sie schon einmal eine Website besucht und das hier anstelle der Webseite gesehen?

Screenshot, Meldung "Ihre Verbindung ist nicht privat" von Ihrem Browser.

Wenn Sie wie die meisten Leute sind, tun Sie, was Ihr Browser sagt, und Sie "STOP!

Was sagt Ihnen eine solche Warnung überhaupt? Nun, es kann sich um eine Reihe von Dingen handeln, auf die wir später in diesem Beitrag näher eingehen werden:

  1. Die Website verfügt möglicherweise nicht über ein Zertifikat: Die Website, die Sie zu erreichen versuchen, verfügt über keinerlei Zertifikat, so dass Ihr Browser keine Möglichkeit hat, festzustellen, ob der Eigentümer der Website derjenige ist, der er vorgibt zu sein. Mit anderen Worten: Sie können nicht darauf vertrauen, wer die Informationen von dieser Website sendet.
  2. Das Zertifikat verwendet einen inakzeptablen Verschlüsselungsstandard: Die Website, auf die Sie zuzugreifen versuchen, hat zwar ein Zertifikat, aber der verwendete Verschlüsselungsstandard ist unzureichend oder entspricht nicht den Standards, die von bösartigen Akteuren verwendet werden.
  3. Das Zertifikat ist abgelaufen: Das Zertifikat der Website, auf die Sie zuzugreifen versuchen, ist abgelaufen.
  4. Browser-Streit: Es besteht ein Streit zwischen Ihrem Browser (Chrome, Safari, Edge, Internet Explorer, Firefox) und der Zertifizierungsstelle über die Gültigkeit des Zertifikats.

Ihr Browser hat eine erste Verbindung mit einer Website hergestellt und festgestellt, dass es nicht sicher ist, fortzufahren, da ein böswilliger Benutzer die Verbindung abfangen könnte.

Warum ist diese Warnung für Ihr Unternehmen von Bedeutung?

Wie wir alle wissen, wirkt sich die Verfügbarkeit Ihrer Dienste auf Ihr Endergebnis aus, und zwar ohne Ausnahme. CSO Online fand heraus: "Bei den Kosten für die Geschäftskontinuität entfällt der größte Teil, nämlich 4,2 Millionen Dollar, auf den Imageschaden, gefolgt von 4,1 Millionen Dollar an entgangenen Einnahmen und jeweils 3,4 Millionen Dollar für Produktivitätsverluste und Wiederherstellungskosten."

Wenn Sie Inhaber einer Website sind, können diese Warnungen katastrophale Folgen für Ihr Unternehmen oder Ihren Auftrag haben und sich sehr nachteilig auf Ihren Gewinn auswirken. Dies war noch nie so offensichtlich wie inmitten einer Pandemie. Die Verteilung von Impfstoffen ist auf einen ungehinderten Zugang zur Website für Impftermine angewiesen. Restaurants sind auf Bestellungen über die Website angewiesen, um die Einnahmen aus dem stationären Handel zu ersetzen. Einzelhändler mussten ihre Läden auf Websites verlagern, um im Geschäft zu bleiben. Die zunehmende digitale Transformation wirkt sich auf jeden Aspekt der Wirtschaft und darüber hinaus aus.

Wie kann die Censys Attack Surface Management Platform helfen? Censys verfügt über die besten Daten, die es auf dem Markt gibt, und zwar über unseren Universal Internet DataSet, was sich direkt in der besten Sichtbarkeit des Internets niederschlägt. Censys scannt täglich das gesamte Internet und reichert die Informationen mit Zertifikatsressourcen an, was zum größten Zertifikatsspeicher der Welt führt, d. h. 5 Milliarden Zertifikate! Das bedeutet, dass, wenn es ein Zertifikat gibt (oder gab), wir es finden und Sie danach suchen können. Sie können auch die internetweite Scan-Funktion von Censysnutzen, um alle öffentlich zugänglichen Webserver zu finden. Wenn Sie eine Website überprüfen möchten, zeigt Ihnen die Censys ASM-Plattform diese Informationen auf einfache Weise an, so dass Sie etwaige Zertifikatsprobleme schnell beheben können.

Die Website hat möglicherweise kein Zertifikat. Sie haben also eine Website, sagen wir "yourgreatsite.com", und möchten sicherstellen, dass sie über ein gültiges Zertifikat verfügt.

  • Verwenden Sie die Censys Attack Surface Management Platform, um Ihre Domain (oder Website-Adresse, "yourgreatsite.com") und die zugehörigen IP-Adressen zu finden. Wenn Sie auf diese IP-Adressen oder Hosts klicken, können Sie bis zum Ende der Seite scrollen, um sicherzustellen, dass ein Zertifikat vorhanden ist und es keine Probleme gibt, die Ihre Besucher verunsichern könnten.

Screenshot von ASM, der die Position des Zertifikats in der Benutzeroberfläche hervorhebt.

  • Verwenden Sie Censys Search , um nach "yourgreatsite.com" zu suchen, um mögliche Ergebnisse zu erhalten, und untersuchen Sie den Host, um zu sehen, ob einer seiner offenen Ports ein gültiges Zertifikat aufweist.

Das Zertifikat verwendet einen inakzeptablen Verschlüsselungsstandard. Sie haben also bestätigt, dass Sie ein gültiges Zertifikat haben, d. h. es ist aktuell und nicht abgelaufen, aber der Verschlüsselungsschlüssel scheint schwach zu sein. Was hat das zu bedeuten? Nun, neben der Überprüfung des Eigentümers durch eine dritte Partei (den Zertifikatsaussteller) bestätigen Zertifikate den Besuchern auch, dass ihre Verbindungen sicher sind. So können sie unbesorgt Kreditkartendaten oder andere sensible Informationen übermitteln. Ein Zertifikat mit veralteter Verschlüsselung kann kompromittiert werden, so dass ein Angreifer die sensiblen Daten sehen kann, die er sonst auf Ihrer Website eingeben würde.

  • Rufen Sie die Censys Attack Surface Management Platform auf und gehen Sie auf die Registerkarte "Zertifikat". Filtern Sie die Ergebnisse, indem Sie "Schlüsseltyp", dann "ist nicht" und dann eine Option auswählen, bei der die ersten vier Ziffern "1024" oder mehr sind oder auf der "ECDSA" steht.

Screenshot der ASM-Plattform. Zeigt Ihnen, wie Sie den in Ihrem TLS/SSL-Zertifikat verwendeten Schlüsseltyp finden können.

  • Alle vorgelegten Zertifikate haben wahrscheinlich einen "schwachen" Schlüssel. Klicken Sie auf das Zertifikat und scrollen Sie nach unten, um in der rechten Spalte den Schlüsseltyp und die Stärke anzuzeigen.

Screenshot der ASM-Plattform. Beispiel für ein schwaches Zertifikat, der Schlüsseltyp ist nicht mehr der Standard.

Abgelaufenes Zertifikat. Wenn man ein Zertifikat einrichtet, indem man es entweder selbst erstellt oder über einen Zertifikatsaussteller erwirbt, hat es eine bestimmte Lebensdauer, ähnlich wie eine Kreditkarte. Wenn ein Zertifikat nicht erneuert wird, läuft es ab und verursacht mit ziemlicher Sicherheit Probleme für Ihre Website-Besucher.

  • Gehen Sie auf Censys Attack Surface Management Platform auf die Registerkarte "Zertifikat". Gehen Sie zu der Warnkarte am oberen Rand der Seite mit dem roten Dreieck "Abgelaufen" und klicken Sie auf "Anzeigen". Es wird eine Liste mit allen abgelaufenen Zertifikaten angezeigt.

  • Wenn Sie sich einen Überblick über ablaufende Zertifikate verschaffen möchten, klicken Sie auf eine der anderen Warnkarten wie "Ablaufen innerhalb der nächsten Woche" oder "Ablaufen innerhalb des nächsten Monats".

  • Sie können abgelaufene oder auslaufende Zertifikate auch anzeigen, indem Sie im Dashboard auf die Registerkarte "Risiko" klicken und zum Fenster "Auslaufende Vermögenswerte" hinunterblättern.

Sie denken, dass Sie mit Ihrem Zertifikat alles richtig gemacht haben, aber es gibt immer noch eine Warnung in einem der Browser. Sie haben ein Zertifikat für Ihre Website-Domäne implementiert, das noch nicht abgelaufen ist und dessen Verschlüsselungsschlüssel erstklassig ist - aber es gibt immer noch eine Fehlermeldung! Wie kann das passieren? Das kann vorkommen, wenn es einen Streit zwischen dem Aussteller des Zertifikats und dem Hersteller des Webbrowsers gibt, wie z. B. 2017, als Google ein Problem mit den Zertifikaten von Symantec hatte und Besucher der Website plötzlich mit Warnungen und Fehlern konfrontiert wurden. In anderen Fällen gibt es ein technisches Problem bei der Anwendung des Zertifikats auf den falschen Port oder das falsche System.

Rufen Sie die Plattform Censys Attack Surface Management auf und gehen Sie auf die Registerkarte "Zertifikate". Filtern Sie die Ergebnisse, indem Sie "Browser-Vertrauen" und "ist nicht" auswählen und dann den gewünschten Browsertyp oder alle mit dem Operator "oder" auswählen. Die resultierende Liste enthält alle Zertifikate, bei denen ein Browser-Vertrauensproblem vorliegt und die Besuchern eine Warnung oder einen Fehler anzeigen.

Effizientes ASM bedeutet besseres Zertifizierungsmanagement

Jetzt, da Sie die Folgen einer schlechten Zertifikatshygiene kennen, was sollten Sie tun, wenn Sie in Ihrem Unternehmen auf einen Zertifikatsfehler stoßen? Sofern Sie kein IT- oder Sicherheitsexperte sind, sollten Sie sich am besten an die Person wenden, die Ihre Website verwaltet. Sie können sie über die Informationen informieren, die Sie mit Hilfe von Censys aufgedeckt haben. Sie sollten in der Lage sein, mit diesen Informationen das Problem zu lösen.

Wenn Sie mehr über Censys erfahren möchten und wie wir Ihnen den besten Überblick über die Angriffsoberfläche in Ihrem gesamten Ökosystem verschaffen, melden Sie sich noch heute!

Lösungen für das Management von Angriffsflächen
Mehr erfahren