SSL CAs mit CFSSL, Boulder oder Consul sinnvoll pflegen
Komfortabel und sicher
Es gibt gute Gründe, eine eigene SSL CA zu betreiben, und mit den richtigen Werkzeugen ist das auch kein Problem. CFSSL, Boulder und Consul sind Werkzeuge, die dabei helfen.
Netzwerkverbindungen gehören in der IT zum Alltagsgeschäft. In den vergangenen Jahren hat die durchschnittliche Zahl an Verbindungen auf der Netzwerkebene in normalen Setups nochmals erheblich zugenommen: Grund sind Cloud-native-Applikationen, die dem Prinzip der Mikrodienste folgen, die allesamt irgendwie miteinander kommunizieren müssen. Und auch wer große skalierbare Plattformen wie OpenStack betreibt, wickelt den Löwenanteil der Kommunikation zwischen den Komponenten über klassische TCP/IP-Verbindungen ab.
Schaut man bei solchen Setups unter die Haube, fällt aber schnell auf, dass der Faktor Verschlüsselung dabei meist unter den Tisch gefallen ist. Klar – wenn HTTP-basierte Verbindungen mit der Außenwelt über Load Balancer oder ähnliche Werkzeuge verlangt sind, kommen dafür in aller Regel SSL-verschlüsselte Verbindungen mit offiziellen Zertifikaten zum Einsatz. Die interne Kommunikation zwischen verschiedenen Diensten in einem lokalen Netz hingegen sichern viele Administratoren nicht – schließlich „ist das lokale Netzwerk ja sicher“.
Dass diese Aussage freilich nur je nach Bedrohungsszenario stimmt, ist klar – und ebenso klar ist, dass es eigentlich nicht sonderlich viel Aufwand wäre, auch interne Verbindungen mit SSL abzusichern. Die Compliance-Vorgaben diverser Großunternehmen schreiben diese Security-Maßnahme mittlerweile explizit vor, sodass Systemverwalter gar nicht um die Arbeit herumkommen.
Eine CA pflegen: Mühsame Arbeit
Der tatsächliche Grund dafür, dass viele Administratoren sich die Arbeit mit der Pflege einer SSL CA nicht antun möchten, dürfte sein, dass das gar nicht so trivial ist, wie man meinen könnte. Wer „nur“ ein SSL-Zertifikat für seine Website oder seine Domain braucht, kann das bei diversen Anbietern unkompliziert kaufen oder per Let’s Encrypt relativ schnell beschaffen. Möchte man hingegen selbst eine lokale SSL CA für die eigene Installation betreiben, ist das mehr Aufwand.
Der lohnt sich allerdings. Denn wer eine SSL CA hat, kann diese für alle Zertifizierungsaufgaben nutzen. Das gilt, wenn man wie erwähnt Verbindungen zwischen Diensten im lokalen Netz absichern will, ebenso, wie wenn man etwa ein VPN mit Nutzerzertifikaten betreiben möchte. Für diese Anwendungsfälle stellt Let’s Encrypt nämlich gar keine Zertifikate aus, und für solche internen Zwecke auf teure Kaufzertifikate zurückzugreifen, ist eher nicht sinnvoll.
Wie üblich steht auch hier außer Zweifel: Nimmt man das passende Werkzeug zu Hilfe, lassen sich selbst komplexe und unangenehme Arbeiten effizient und angenehm durchführen. Verwaltet man seine SSL CA beispielsweise sinnvoll, besteht für Nutzer und Kunden sogar die Möglichkeit, sich benötigte Zertifikate per API-Anfrage selbst auszustellen. Automatisierung & Co. lassen grüßen.
Dieser Artikel stellt drei Werkzeuge vor, die den Betrieb einer eigenen SSL CA erleichtern und komfortabel machen wollen. Cloudflares CFSSL, Boulder und Consul sind die drei Probanden, die eine SSL-verschlüsselte Zukunft verheißen. iX zeigt, wie die Ansätze funktionieren, wodurch sie sich auszeichnen und ob sie die Arbeit wirklich so wie versprochen erleichtern.