Venafin 2.2.2017 julkaisemassa artikkelissa todetaan, että neljä viidestä organisaatiosta on kärsinyt 2016 SSL/TLS-varmenteen tahattoman vanhenemisen aiheuttamasta ongelmasta.
Kuulostaa aika uskomattomalta – ainakin näin kotimaisen varmennetoimittajan näkökulmasta. Joko maailmalla tilanne on todella huonompi kuin Suomessa tai korviimme vain ei kantaudu kotimaassa tapahtuvia ongelmia tai sitten Venafin kriteeri ongelmalle on matala.
Vaikka lukema Suomessa ei olisikaan tuota tasoa, on asia ajankohtainen. HTTPS-liikenteen määrä ylitti jo HTTP-liikenteen määrän. SSL-varmenteita tarvitaan yhä kiihtyvään tahtiin. Ja kaikista näistä ei tule aikanaan vanhenemishälytyksiä niitä tarvitseville henkilöille. Tuloksena voi olla kriittisen tärkeiden palvelujen katkoksia.
Olemme nähneet asiakkailla erilaisia syitä tähän ongelmaan – esimerkiksi:
- Varmenteen tilaaja ei ole enää talossa. Lähes kaikki varmennetoimittajat lähettävät kyllä hälytyksen riittävän aikaisin varmenteen tilanneelle henkilölle. Mutta entä jos tämä henkilö ei ole enää töissä organisaatiossa? Kukaan ei saa hälytystä.
- Toimittaja on asentanut varmenteen osana omaa palveluaan, ja tämän vanhenemisaikaa ei ole kirjattu mihinkään hälytysjärjestelmään.
- Wildcard-varmennetta on kopioitu useille palvelimille ja tässä yhteydessä on unohtunut kirjata kaikki palvelimet. joille kopio on asennettu
- On tehty palvelinvarmenne omalla PKI:lla ja joko hälytystä ei ole asetettu tai se ei saavuta sopivaa henkilöä
Omat asiakkaamme ovat käyttäneet pääasiassa kahden tyyppistä ratkaisua:
- Kaikkien varmenteiden kirjaaminen Entrustin SSL-Portaaliin (myös muilta ostettujen ja itse tehtyjen) – ja vanhenemishälytysten suuntaaminen sopivalle mail-ryhmälle (esim. helpdesk) yksittäisten henkilöiden sijaan
- Automaattinen varmenneympäristön säännöllinen skannaaminen ja muutoksista sekä vanhenevista varmenteista hälyyttäminen (ns. Discovery-ratkaisu).
Tärkeää on, että varmenteiden hallintaan muodostetaan prosessi joka ei ole henkilöriippuvainen.
Artikkeli visioi myös aikaa, jolloin kaupallisten varmenteiden uusimiseenkin saataisiin lisää automaattisia prosesseja. Tämä helpottaisi merkittävästi varmenteiden hallintaa. Näemme jo liikettä tähän suuntaan, kun ACME -protokollan ( Automated Certificate Management Environment ) mukaista automaattista varmenteiden asentamista ja uusimista ollaan ottamassa yhä laajemmin käyttöön.
Lisätietoja: info (at) wesentra.com tai https://www.wesentra.com