Datum
25.06.2025
Wie ein unsichtbarer Türsteher, der pausenlos Wache hält: Digitale Zertifikate sind das Rückgrat sicherer Online-Kommunikation. Doch wenn ihre Erneuerung versagt, stehen Systeme still. Die Bedag setzt deshalb konsequent auf Automatisierung.
Zertifikate sind ein zentrales Element für die Sicherheit in der Datenkommunikation und der Authentifizierung. Sie sorgen dafür, dass Daten zwischen Kommunikationspartnern – z. B. einem Webserver und dem Browser, verschlüsselt übertragen werden. Dadurch wird verhindert, dass Dritte sensible Informationen wie Passwörter, Kreditkartendaten oder persönliche Nachrichten mitlesen oder manipulieren können. Zudem dienen Zertifikate der Authentifizierung des Servers und schützen vor Angriffen. Die Verschlüsselung erfolgt meist asymmetrisch durch ein mathematisch verknüpftes Schlüsselpaar. Ein öffentlich zugänglicher Schlüssel (Public Key) dient der Verschlüsselung; ein privater, geheimer Schlüssel (Private Key) dient der Entschlüsselung. Aus Sicherheitsgründen muss das Zertifikat mit dem meistens 2048-4096 Bit umfassenden Schlüsselpaar regelmässig aktualisiert werden.
Überwachung der Schlüsselstärken und Verschlüsselungsalgorithmen:
Das Dashboard zeigt die Stärke der Schlüssel (Anzahl Bit) und welche Verschlüsselungsalgorithmen bei den hinterlegten Zertifikaten verwendet worden sind. «sha1RSA» steht für SHA1, eine Funktion die einen Datenblock in einen kleineren Wert mit fester Länge, den sogenannten Hash, umwandelt. Bei RSA handelt es sich um ein asymmetrisches Verschlüsselungsverfahren. Mit diesen beiden Anzeigen wird überwacht, dass Schlüssellängen oder Verschlüsselungsalgorithmen, die nicht mehr als sicher angesehen werden, nur noch in begründeten Ausnahmefällen zur Anwendung kommen.
Die Bedag bewirtschaftet in ihrem Rechenzentrum rund 3500 solche Zertifikate und aktualisiert diese in einer Frequenz, die je nach Systemanforderungen variiert – von einmal im Monat bis einmal im Jahr. Bei der Aktualisierung kam es früher immer wieder zu Ausfällen, die durch nicht erneuerte oder nicht ordnungsgemäss bereitgestellte Zertifikate verursacht wurden. Solche Ausfallzeiten waren nicht länger tragbar, da sie die Geschäftskontinuität und die Einhaltung der SLAs gefährdeten.
Wenn Systemverantwortliche ein Ticket im Konfigurationssystem einreichten, um ein Zertifikat zu bestellen, dauerte es zudem oft Tage, bis sie das Zertifikat erhielten. Darum und auch weil die Aktualisierungszyklen in der Tendenz immer kürzer werden, hat die Bedag vor 2 Jahren angefangen, die Serverzertifikate (TLS-/SSL-Zertifikate) nicht länger nur manuell zu verwalten, sondern hat ausserdem in eine automatisierte Zertifikatsmanagement-Lösung investiert.
Vorteile der automatisierten Zertifikatserneuerung
Die Durchlaufzeit für die Erstellung und Aktualisierung eines Zertifikats konnte durch die Automatisierung von 3 Tagen auf 2 Minuten reduziert werden. Die Verarbeitungsqualität erfolgt zu 99,99 % störungsfrei. Weitere Vorteile der automatischen Zertifikatserneuerung sind:
- Sicherheit: Kontinuierlich gültige Zertifikate gewährleisten durchgehend verschlüsselte Verbindungen und erfüllen Compliance-Anforderungen.
- Vermeiden von Ausfällen: Abgelaufene Zertifikate führen zu Serviceunterbrechungen – Automatisierung minimiert dieses Risiko praktisch auf null.
- Reduktion menschlicher Fehler: Automatisierung verhindert sowohl das Vergessen von Ablaufdaten als auch Konfigurationsfehler.
Zudem gibt ein Dashboard Planungssicherheit. Es zeigt genau an, wie viele Zertifikate in einem bestimmten Zeitraum ersetzt oder erneuert werden müssen.
Für alle Zertifikatstypen geeignet
Mit dem Wechsel auf das Zertifikatsmanagement-System eröffnete sich ein grosser Handlungsspielraum: Unterschiedlichste Zertifikatstypen verschiedener Aussteller sowie variable Schlüsselstärken lassen sich seither deutlich flexibler integrieren. Mit diesem Wechsel wurden die Voraussetzungen für eine vollständige Automatisierung geschaffen.
So war es der Bedag beispielsweise möglich, bei rund 1800 öffentlichen Zertifikaten ohne Auswirkungen auf Kundinnen und Kunden auf einen neuen schweizerischen Anbieter zu wechseln (Stand Frühling 2025: rund zwei Drittel abgeschlossen). Auch die Zertifikate auf den Loadbalancern und den VDI-Systemen werden mittlerweile vollständig automatisiert erneuert. Doch das ist noch nicht alles. Ziel ist es, die Automatisierung (wo sinnvoll) auf die verbleibenden Zertifikate auszuweiten. Dazu muss die Automatisierung bei jedem einzelnen Zertifikat erstmalig initiiert und konfiguriert werden.
2025-05-13 08:25:30