SSL CAs mit CFSSL, Boulder oder Consul sinnvoll pflegen
Es gibt gute Gründe, eine eigene SSL Certificate Authority (SSL CA) zu betreiben. Die Werkzeuge CFSSL, Boulder und Consul helfen einem dabei.
- Martin Gerhard Loschwitz
Netzwerkverbindungen gehören in der IT zum Alltagsgeschäft. In den vergangenen Jahren hat die durchschnittliche Zahl an Verbindungen auf der Netzwerkebene in normalen Setups nochmals erheblich zugenommen: Grund sind Cloud-native-Applikationen, die dem Prinzip der Mikrodienste folgen, die allesamt irgendwie miteinander kommunizieren müssen. Und auch wer große skalierbare Plattformen wie OpenStack betreibt, wickelt den Löwenanteil der Kommunikation zwischen den Komponenten über klassische TCP/IP-Verbindungen ab.
Schaut man bei solchen Setups unter die Haube, fällt aber schnell auf, dass der Faktor Verschlüsselung dabei meist unter den Tisch gefallen ist. Klar – sind HTTP-basierte Verbindungen mit der Außenwelt über Load Balancer oder ähnliche Werkzeuge gefordert, kommen dafür in aller Regel SSL-verschlüsselte Verbindungen mit offiziellen Zertifikaten zum Einsatz. Die interne Kommunikation zwischen verschiedenen Diensten in einem lokalen Netz hingegen sichern viele Administratoren nicht – schließlich "ist das lokale Netzwerk ja sicher".
Dass diese Aussage freilich nur je nach Bedrohungsszenario stimmt, ist klar – und ebenso klar ist, dass es eigentlich nicht sonderlich viel Aufwand wäre, auch interne Verbindungen mit SSL abzusichern. Die Compliance-Vorgaben diverser Großunternehmen schreiben diese Security-Maßnahme mittlerweile explizit vor, sodass Systemverwalter gar nicht um die Arbeit herumkommen.