Sie befinden sich hier:
Benachrichtigung über proaktive abgelaufene Zertifikate
Stellt sicher, dass aktive Systemadministratoren rechtzeitig benachrichtigt werden, bevor Sicherheitszertifikate (SAML, Identity, JWT) ablaufen.
Steuerelementname
Benachrichtigung über proaktive abgelaufene Zertifikate
Steuerelementübersicht
Stellt sicher, dass aktive Systemadministratoren rechtzeitig benachrichtigt werden, bevor Sicherheitszertifikate (SAML, Identity, JWT) ablaufen.
Beschreibung
Weist die Systemberechtigung "Benachrichtigung zum Ablauf des Zertifikats empfangen" über einen Berechtigungssatz bestimmten Systemadministratoren zu, die für die Infrastrukturwartung verantwortlich sind.
Empfohlene Konfiguration
Erstellen Sie einen dedizierten Berechtigungssatz mit aktivierter Berechtigung "Benachrichtigung zum Zertifikatablauf empfangen" und weisen Sie ihn mindestens zwei aktiven Systemadministratoren zu.
Sicherheitsauswirkung
Verhindert Systemunterbrechungen und Notfallsicherheitsumgehungen, die häufig auftreten, wenn Zertifikate unerwartet ablaufen, wodurch Teams gezwungen werden, sich nach schnellen Korrekturen zu sputen.
Geschäftsauswirkungen
Wartung der Serviceverfügbarkeit und Unterbrechungen für Systembenutzer. Verringert die Notwendigkeit von Notfalländerungen, die standardmäßige DevOps-/Änderungsverwaltungsprotokolle umgehen.
Sicherheitsrisiko, wenn nicht konfiguriert
Unbemerkter Zertifikatablauf führt zur sofortigen Serviceverweigerung. Bei Ausfällen mit hohem Druck können Teams vorübergehend auf schwache Sicherheitspraktiken zurückgreifen, um den Service wiederherzustellen, was zu einer Schwachstelle führt.
Bedrohungsszenarien
Systemverfügbarkeit: Benutzer können keine Protokollierung vornehmen, da das SAML-Signaturzertifikat abgelaufen ist. Integrationsfehler: Automatisierte Datensynchronisierungen schlagen fehl, da JWT-Bearer-Flows abgelaufene Zertifikate ablehnen.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Höheres Risiko für Organisationen mit komplexer Identitätsverwaltung oder Organisationen, die Salesforce als IdP für viele externe nachgelagerte Anwendungen verwenden.
Höheres Risiko, wenn
Ein ehemaliger Mitarbeiter erhält Benachrichtigungen oder wenn die spezifische Systemberechtigung niemandem zugewiesen ist.
Geringes Risiko, wenn
Es ist ein Prozess vorhanden, um das Ablaufen von Zertifikaten regelmäßig zu überprüfen, oder aktuelle Administratoren erhalten Benachrichtigungen über ablaufende Zertifikate über andere Mechanismen.
Überlegungen zu Unternehmen und Integration
Erfordert einen Prozess zum gleichzeitigen Aktualisieren externer Systeme, wenn das Salesforce-Zertifikat rotiert wird, um eine Inkongruenz zu vermeiden.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung überprüft die User- und PermissionSet, um zu überprüfen, ob die PermissionsReceiveCertificateExpirationNotifications aktiven Benutzern mit Zugriff auf Administratorebene zugewiesen ist.
Wer ist betroffen?
Interne Mitarbeiter, Administratoren und Entwickler.
