Wie wirkt sich das Upgrade des X.509-Zertifikats auf die Benutzer aus?

Hintergrund

Ein X.509-Zertifikat ist ein digitales Zertifikat, das den weithin akzeptierten internationalen X.509-Standard für die Public Key Infrastructure (PKI) verwendet, um die Zugehörigkeit eines öffentlichen Schlüssels zu dem im Zertifikat enthaltenen Hostnamen/der Domain, der Organisation oder der Person zu überprüfen.

Am 5. November 2019 hat Procore die öffentlichen TLS/SSL X.509-Serverzertifikate für die Domains app.procore.com und login.procore.com aktualisiert. Wir haben von der Verwendung von Wildcard-Zertifikaten auf Zertifikate umgestellt, die dem voll qualifizierten Domainnamen entsprechen. Obwohl Wildcard-Zertifikate bequem sein können, verletzen sie das Sicherheitsprinzip des geringsten Privilegs. Die Gefahr, dass der private Schlüssel eines Zertifikats kompromittiert werden kann, steigt, wenn mehrere Systeme ein Wildcard-Zertifikat gemeinsam nutzen. Darüber hinaus ist der wahrgenommene Wert dieses Schlüssels für Angreifer deutlich höher, was ihn zu einem attraktiveren Ziel macht.

Antwort

In Fällen, in denen Benutzer das Zertifikats-Pinning verwenden, sind die Web-Clients so vorkonfiguriert, dass sie wissen, welches Server-Zertifikat sie erwarten sollten. In diesem Szenario stimmt das aktualisierte X.509-Zertifikat nicht mit dem vorkonfigurierten Zertifikat überein, und der Client verhindert, dass die Sitzung zustande kommt. Wenn Sie nach dem Upgrade des X.509-Zertifikats Probleme mit der Verbindung zu Procore haben, wenden Sie sich an Ihre IT-Abteilung. Ihre Web-Clients müssen aktualisiert werden, damit sie mit dem neuen Zertifikat richtig umgehen können. Wenn Ihre Web-Clients jedoch nicht für das Zertifikats-Pinning konfiguriert sind, sind keine Maßnahmen erforderlich – diese Änderungen sollten nahtlos erfolgen. Es kann höchstens erforderlich sein, dass Sie sich nach der Aktualisierung der Zertifikate erneut authentifizieren müssen.