A pressão por uma vida útil mais curta dos certificados TLS vem crescendo há anos. Tudo começou com o impulso interno do Google em direção aos certificados de 90 dias, que ganharam força dentro da indústria antes que a resistência dos clientes empresariais desacelerasse as coisas. Então a Apple propôs certificados de 47 dias, o que reacendeu o debate e, por fim, forçou o CA/Browser Forum a estabelecer um acordo formal. agendar.
O cronograma resultante dessas discussões reduz a validade do certificado de um ano para 200 dias, depois 100 e depois 47, em um período de aproximadamente três anos. Esse cronograma pressiona as organizações a reformularem seus modelos de compras e seus processos operacionais de gerenciamento de certificados.
John Murray, vice-presidente sênior de vendas, Américas da OGM GlobalSign descreve o objetivo subjacente: os navegadores desejam que as organizações sejam capazes de mover material de chave criptográfica rapidamente, revogar certificados em curto prazo e substituí-los em janelas restritas. Eles também querem uma disciplina mais rígida em torno das hierarquias de certificados, incluindo a mudança de certificados raiz multiuso para raízes de propósito único. A maioria das organizações não desenvolveu processos ou ferramentas para fazer nada disso em escala.
As grandes empresas estão à frente da curva, pelo menos marginalmente. Eles tendem a ter equipes de PKI dedicadas e orçamento para ferramentas de gerenciamento do ciclo de vida do certificado. As organizações de médio e pequeno porte, que constituem uma parcela significativa da base de clientes da GlobalSign, são as que provavelmente serão pegas de surpresa quando o próximo prazo chegar.
A descoberta é o primeiro passo, não opcional
Para qualquer organização que esteja começando a levar a sério o gerenciamento de certificados, Murray tem uma resposta consistente para a questão de por onde começar. “O primeiro passo é a descoberta”, diz ele. “Ter uma ferramenta que você pode usar para descobrir todos os seus certificados e catalogar tudo.”
Esse conselho se aplica igualmente ao desafio imediato de uma expectativa de vida mais curta e ao trabalho de longo prazo de preparação para a criptografia pós-quântica. Em ambos os casos, as organizações precisam saber quais certificados possuem, onde esses certificados residem e em que tipo de plataforma cada um deles é executado. Sem esse inventário, a automação é difícil de implantar e o escopo de qualquer projeto de migração é essencialmente desconhecido.
GlobalSign Plataforma Atlas inclui descoberta de certificados, assim como a ferramenta LifeCycle X by GMO da empresa. Os dados de descoberta também alimentam diretamente o planejamento de automação, porque as plataformas e os tipos de infraestrutura em que uma organização opera determinam quais abordagens de automação estão disponíveis.
A preparação pós-quântica compartilha a mesma base
A criptografia pós-quântica está gerando atenção significativa no espaço PKI, e por boas razões. A finalização de algoritmos resistentes a quantum está em andamento e as organizações eventualmente precisarão migrar sua infraestrutura de certificados para usá-los. Essa migração exigirá a atualização não apenas dos processos de emissão de certificados, mas de todo o ecossistema de dispositivos, servidores web, balanceadores de carga, HSMs e outras infraestruturas que os certificados tocam.
Murray vê uma linha direta entre o trabalho que as organizações precisam fazer agora para períodos de validade mais curtos e o que precisarão mais tarde para o pós-quântico. A infraestrutura de automação construída para lidar com a rotação de certificados também será o mecanismo de entrega para certificados pós-quânticos, assim que estiverem prontos para implantação. As organizações que fizeram o trabalho de inventário e criaram pipelines de renovação automatizados poderão enviar novos tipos de certificados para endpoints sem começar do zero.
As organizações que esperarem enfrentarão dois desafios ao mesmo tempo: adaptar-se a vidas úteis mais curtas e migrar para novos algoritmos criptográficos, nenhum dos quais é simples sem uma imagem do que está em execução e onde.
O modelo de compra também precisa mudar
A vida útil mais curta dos certificados cria um problema que vai além das operações e chega até a aquisição. O modelo tradicional de compra de certificados, comprando um pacote de certificados e renovando-os uma vez por ano, quebra rapidamente quando os certificados precisam ser substituídos a cada 47 dias.
A GlobalSign desenvolveu uma abordagem de licenciamento baseada em nomes alternativos de assunto (SANs), em vez de emissões de certificados individuais. Sob esse modelo, as organizações são licenciadas pelo número de nomes de domínio totalmente qualificados (FQDNs) exclusivos que precisam cobrir, medido em tempo real. Renovar ou substituir um certificado de um domínio já licenciado não consome um slot de licença adicional. As organizações podem alternar certificados com a frequência que sua postura de segurança exigir, sem gerar custos adicionais.
As empresas que adquirirem novos domínios ou expandirem sua infraestrutura poderão aumentar sua licença no meio do ano de forma proporcional. Combinada com a automação, esta abordagem elimina o atrito comercial que, de outra forma, tornaria a rotação de certificados de alta frequência financeiramente insustentável.
A automação não será opcional
Murray é direto sobre o rumo que isso leva: as organizações que ainda gerenciam certificados por meio de planilhas ou processos de renovação manual não serão capazes de sustentar isso à medida que os períodos de validade são reduzidos. Pequenas equipes de TI que tratam o gerenciamento de certificados como um item de uma longa lista de responsabilidades sofrerão interrupções. Um único certificado expirado, embora barato por si só, pode causar interrupções operacionais significativas.
Para organizações menores, o Ambiente Automatizado de Gerenciamento de Certificados (ACME) oferece um ponto de entrada de baixo custo. ACME, um padrão aberto, pode automatizar a renovação de certificados sem exigir uma plataforma CLM dedicada. Os agentes implantados nos servidores cuidam do processo de renovação automaticamente e o protocolo inclui mecanismos para lidar com revogações em massa. A GlobalSign oferece suporte ao ACME em todos os seus tipos de certificados, incluindo certificados validados organizacionalmente e validados por domínio, e não cobra separadamente pelo uso do ACME.
Para ambientes mais complexos, as organizações podem precisar de uma solução CLM abrangente. A GlobalSign oferece suas próprias ferramentas, incluindo Atlas e Lifecycle X da GMO, e trabalha com fornecedores terceirizados de CLM por meio de integrações de API abertas. Às vezes, empresas maiores criam integrações personalizadas diretamente com essas APIs. A abordagem correta depende do tamanho do ambiente, da variedade de plataformas envolvidas e da capacidade interna para manter a solução.
Murray reconhece que o medo da automação é real, especialmente entre organizações que gerenciam certificados manualmente há anos. Algumas equipes de TI se preocupam com a compatibilidade dos agentes ou com ambientes onde não existe um caminho de automação pronto. GlobalSign Ciclo de Vida X por OGM inclui recursos de script personalizados e modelos configuráveis para plataformas não padrão, e a empresa desenvolveu serviços profissionais para ajudar as organizações com implementações iniciais de ACME, implantação de agentes e configuração de plataforma.
A experiência em PKI é escassa e isso importa
Um fator que muitas vezes passa despercebido nas discussões sobre gerenciamento de certificados é a lacuna de conhecimento. A PKI é especializada e a maioria das organizações, especialmente no mercado intermediário, não possui funcionários com profundo conhecimento nela. Murray observa que mesmo profissionais de TI experientes que conhecem bem a segurança muitas vezes não estão familiarizados com as especificidades dos tipos de validação de certificados, requisitos de conformidade e compensações técnicas entre diferentes abordagens.
Essa lacuna tem aumentado recentemente. O ano passado viu mudanças significativas de conformidade em SSL, assinatura de código e certificados S/MIME, impulsionadas por decisões do CA/Browser Forum. Cada mudança exige que as organizações entendam o que está mudando, por que e quais etapas precisam tomar. As organizações sem um consultor confiável no espaço de PKI muitas vezes ficam tentando reunir os requisitos das discussões em fóruns e das comunicações dos fornecedores.
Murray argumenta que esta é uma área onde a especialização é importante. GlobalSign se concentra em PKIo que significa que suas equipes de vendas e engenharia de soluções podem trabalhar em profundidade em ambientes específicos de clientes. Para uma organização de médio porte, interagir com uma CA que entende toda a gama de casos de uso de certificados, desde servidores Web até assinatura de código e certificados de dispositivos, é uma experiência diferente de trabalhar com uma empresa generalista de serviços de TI.
A janela para se preparar está diminuindo
O limite de 200 dias entra em vigor em 15 de março e as etapas seguintes seguem um cronograma fixo. Para as organizações que ainda gerenciam certificados manualmente, esse cronograma deixa tempo limitado para desenvolver os processos, as ferramentas e o conhecimento interno necessários para acompanhar.
O caminho recomendado por Murray é consistente, independentemente do tamanho da organização: comece com a descoberta para entender o que você tem, identifique quais plataformas são candidatas à automação, aplique a regra 80/20 para colocar o maior número possível de certificados sob gerenciamento automatizado e resolva os casos extremos restantes ao longo do tempo. Para a maioria das organizações de médio porte, alguma versão do ACME combinada com um modelo de licenciamento baseado em SAN fornece um ponto de partida viável sem exigir grandes investimentos iniciais.
As organizações que tratam isto como um problema futuro estão a ficar sem pista.
Deseja saber mais sobre Segurança Clique Aqui!