DEV.7.2 — Zertifikatsmonitoring
Entwicklung für Anwendungen SOLLTE die Ausstellung neuer Zertifikate für die von der Anwendung verwendeten Domains überwachen.
Neue Zertifikate sind in diesem Kontext digitale Zertifikate, insbesondere TLS-/Serverzertifikate nach X.509, die zu einer von der Anwendung genutzten Domain oder Subdomain ausgestellt werden könnten und deren öffentliche Existenz regelmäßig über Certificate-Transparency-Protokolle, Zertifikatsregister oder vergleichbare Quellen erkennbar ist. Von der Anwendung verwendete Domains sind dabei die DNS-Namen, über die die Anwendung selbst, ihre Schnittstellen, Weiterleitungen, Mandantenbereiche oder technische Begleitdienste erreichbar sind, etwa Web-Frontends, API-Endpunkte, CDN- oder Load-Balancer-Namen; fachlich wird häufig von application domains, hostnames, FQDNs oder DNS names gesprochen. Die Vorschrift zielt darauf ab, ungewöhnliche oder unberechtigte Zertifikatsausstellungen frühzeitig erkennbar zu machen, weil eine solche Ausstellung auf Fehlkonfigurationen, kompromittierte DNS-Kontrolle, Missbrauch einer Validierungsmethode oder Vorbereitungen für Phishing- und Man-in-the-Middle-Szenarien hinweisen könnte. Eine entsprechende Beobachtung kann die Zeit bis zur Erkennung verkürzen und ermöglichen, betroffene Domains, Zertifizierungsstellen, DNS-Einträge oder Validierungswege gezielt zu prüfen, bevor Nutzende oder technische Clients einer täuschend echt wirkenden Gegenstelle vertrauen. Hierzu ist es sinnvoll Abfragen öffentlicher Certificate-Transparency-Logs für definierte FQDNs und Wildcards, Alarmierungen bei neuen Zertifikaten außerhalb erwarteter Aussteller oder Namensmuster, sowie regelmäßige Abgleiche einer gepflegten Domainliste mit neu beobachteten Zertifikatseinträgen zu verwenden.
| Name | Value |
|---|---|
| target_object_categories | Anwendungen |
| documentation | Detektions-Konzept |
| result | die Ausstellung neuer Zertifikate |
| result_specification | für die von der Anwendung verwendeten Domains |
| action_word | überwachen |
| modal_verb | SOLLTE |
| Name | Value |
|---|---|
| alt-identifier | 61b03a52-d68e-4bda-b715-91cac2e70e87 |
| sec_level | normal-SdT |
| effort_level | 2 |
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DEV.7.2",
"links": [
{
"href": "#DET.4.8",
"rel": "related"
}
],
"parts": [
{
"id": "DEV.7.2_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Anwendungen"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Detektions-Konzept"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Ausstellung neuer Zertifikate"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "für die von der Anwendung verwendeten Domains"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überwachen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Entwicklung für Anwendungen SOLLTE die Ausstellung neuer Zertifikate für die von der Anwendung verwendeten Domains überwachen."
},
{
"id": "DEV.7.2_gdn",
"name": "guidance",
"prose": "Neue Zertifikate sind in diesem Kontext digitale Zertifikate, insbesondere TLS-/Serverzertifikate nach X.509, die zu einer von der Anwendung genutzten Domain oder Subdomain ausgestellt werden könnten und deren öffentliche Existenz regelmäßig über Certificate-Transparency-Protokolle, Zertifikatsregister oder vergleichbare Quellen erkennbar ist. Von der Anwendung verwendete Domains sind dabei die DNS-Namen, über die die Anwendung selbst, ihre Schnittstellen, Weiterleitungen, Mandantenbereiche oder technische Begleitdienste erreichbar sind, etwa Web-Frontends, API-Endpunkte, CDN- oder Load-Balancer-Namen; fachlich wird häufig von application domains, hostnames, FQDNs oder DNS names gesprochen. Die Vorschrift zielt darauf ab, ungewöhnliche oder unberechtigte Zertifikatsausstellungen frühzeitig erkennbar zu machen, weil eine solche Ausstellung auf Fehlkonfigurationen, kompromittierte DNS-Kontrolle, Missbrauch einer Validierungsmethode oder Vorbereitungen für Phishing- und Man-in-the-Middle-Szenarien hinweisen könnte. Eine entsprechende Beobachtung kann die Zeit bis zur Erkennung verkürzen und ermöglichen, betroffene Domains, Zertifizierungsstellen, DNS-Einträge oder Validierungswege gezielt zu prüfen, bevor Nutzende oder technische Clients einer täuschend echt wirkenden Gegenstelle vertrauen. Hierzu ist es sinnvoll Abfragen öffentlicher Certificate-Transparency-Logs für definierte FQDNs und Wildcards, Alarmierungen bei neuen Zertifikaten außerhalb erwarteter Aussteller oder Namensmuster, sowie regelmäßige Abgleiche einer gepflegten Domainliste mit neu beobachteten Zertifikatseinträgen zu verwenden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "61b03a52-d68e-4bda-b715-91cac2e70e87"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "2"
}
],
"title": "Zertifikatsmonitoring"
}