Netflix macht Zertifikatsmanagement-Framework Lemur quelloffen

Natali Vlatko

© Shutterstock/Jearu

Netflix steht hinter einigen interessanten Open-Source-Projekte, darunter mit ihr neuestes für SSL/TLS-fähige Anwendungen: Lemur. Das Zertifikatsmanagement-Framework zielt auf eine bessere Bewältigung der Public-Key-Infrastruktur ab.

Das für seine vielfältige, aus hausintern erstellten Tools bestehende Bibliothek bekannte Netflix hat kürzlich sein unter den Namen Lemur laufendes Zertifikatsmanagement-Framework quelloffen gemacht. Lemur stellt einen Versuch dar, den Herausforderungen der Public-Key-Infrastruktur (PKI) zu begegnen.

Es ist kein Geheimnis, dass sich das PKI-Management knifflig und/oder verwirrend gestalten kann. Das Netflix-Team zielt mit Lemur auf die drei wichtigsten Komponenten der Infrastruktur ab:

  1. Public Certificate – Ein kryptographisches Dokument, das den Besitz eines Public Key, der der Signierung, dem Identitätsnachweis sowie dem Verschlüsseln von Daten dienen kann, beweist.
  2. Private Key – Ein kryptographisches Dokument, das der Entschlüsselung von Daten, die mithilfe eines Public Key verschlüsselt wurden, dient.
  3. Certificate Authorities (CAs) – Third-Party- oder interne Services, die diejenigen überprüfen, mit denen sie zu tun haben. Sie bestätigen, dass der Client auch wirklich mit dem Server kommuniziert, von dem er dies annimmt. Ihre öffentlichen Zertifikate werden in gängige Betriebssysteme geladen und schaffen eine Vertrauensbasis, auf die andere aufbauen können.

Die benötigten Zerfifikate ohne Erfahrung zu erstellen kann die Verfügbarkeit eines Systems aufgrund einer Reihe von Faktoren beeinflussen: Die Zertifizierung kann abgelaufen sein, ohne dass dies bewusst ist; der Verlust privater Keys führt zu einem Vertraulichkeitsbruch. Diese und die Unterminierung der Sicherheit der PKI via mangelnder Tool-Usability sind nur einige Beispiele dafür, warum PKI eine „verwirrende und schmerzhafte Erfahrung“ sein kann.

Mit Lemur möchte Netflix sicherstellen, dass seine Entwickler auch weiterhin die volle Verantwortung für ihre gesamte Anwendungsumgebung tragen. Dank der fortlaufenden Umstellung auf HTTPS nutzt Netflix Lemur als Mittler zwischen Zertifizierungsstellen einerseits und internen Deployment- und Management-Tools andererseits.

Lemur stellt für Netflix eine einheitliche Anlaufstelle für die Verwaltung sämtlicher Aspekte des Zertifikats-Lebenszyklus dar.

Security engineers can leverage Lemur to act as a broker between deployment systems and certificate authorities. It provides a unified view of, and tracks all certificates in an environment regardless of where they were issued.

Weitere Vorteile der neuen Software und des neuen Workflows umfassen u. a. eine gemeinsame API für interne Nutzer und die Generierung von Keys mit der erforderlichen Stärke. Ein weiterer Bonus ist, dass Entwickler nicht länger über OpenSSL-Befehle Bescheid wissen müssen – was man positiv und negativ sehen kann.

Architektur und Einschränkungen

Während Lemur in der Lage ist, ein gutes Maß an Zertifizierung zu erteilen, kann es gegenteiligen Fällen, wie etwa einer Drittpartei, die eine Marketing-Seite hostet, oder einem Zahlungsanbieter, der Zertifikate für die sichere Kommunikation mit seinen Services generiert, mit seinen Source-Plugins und der Möglichkeit, Zertifikate zu importieren, begegnen.

In Sachen Architektur nutzt Lemur Python 2.7, bzw. 3.4 mit Flask API (inklusive einiger Helper Packages), die AngularJS-UI und Postgres. Außerdem ist optional die Verwendung des AWS Simple Email Service (SES) möglich. Interessanterweise ist die Software selbst nicht an AW gebunden.

Weiterführende Informationen über die Architektur und Konfiguration von Lemur kann der im Rahmen des Release veröffentlichten Dokumentation entnommen werden.

Aufmacherbild: Bring-tailed lemur (lemur catta) von Shutterstock / Urheberrecht: Jearu

Geschrieben von
Natali Vlatko
Natali Vlatko
An Australian who now calls Berlin home, via a two year love affair with Singapore. Natali was an Editorial Assistant for JAXenter.com (S&S Media Group).
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: