Срок действия сертификатов сокращается, и большинство компаний к этому не готовы
Тенденция к сокращению срока действия TLS-сертификатов набирает обороты уже несколько лет. Всё началось с инициативы Google по переходу на 90-дневные сертификаты, которая получила поддержку в отрасли, прежде чем сопротивление корпоративных клиентов замедлило процесс. Затем Apple предложила 47-дневные сертификаты, что вновь разожгло дебаты и в конечном итоге заставило CA/Browser Forum установить официальный график.
План, выработанный в ходе этих обсуждений, предполагает поэтапное сокращение срока действия сертификатов с одного года до 200 дней, затем до 100 и, наконец, до 47 дней в течение примерно трёх лет. Этот график вынуждает организации пересматривать как модели закупок, так и операционные процессы управления сертификатами.
Джон Мюррей, старший вице-президент по продажам в регионе Америка компании GMO GlobalSign, объясняет основную цель: разработчики браузеров хотят, чтобы организации могли быстро обновлять криптографические ключи, отзывать сертификаты в кратчайшие сроки и заменять их в сжатые временные окна. Также они стремятся к более строгой дисциплине в иерархии сертификатов, включая отказ от многоцелевых корневых сертификатов в пользу сертификатов с единственным назначением. Большинство организаций не создали процессы или инструменты для масштабированного выполнения этих задач.
Крупные предприятия находятся в несколько лучшем положении. Как правило, у них есть выделенные команды PKI и бюджет на инструменты управления жизненным циклом сертификатов. Организации среднего и малого бизнеса, составляющие значительную часть клиентской базы GlobalSign, с наибольшей вероятностью окажутся неподготовленными, когда наступит следующий срок перехода.
Обнаружение — это обязательный первый шаг
Для любой организации, которая начинает серьёзно заниматься управлением сертификатами, у Мюррея есть универсальный ответ на вопрос, с чего начать. «Первый шаг — это обнаружение, — говорит он. — Необходим инструмент, с помощью которого можно найти все ваши сертификаты и составить их полный каталог».
Этот совет одинаково актуален как для текущей задачи сокращения сроков действия, так и для долгосрочной подготовки к постквантовой криптографии. В обоих случаях организациям необходимо знать, какие сертификаты у них есть, где они расположены и на какой платформе работает каждый из них. Без такой инвентаризации сложно внедрить автоматизацию, а масштаб любого проекта по миграции остаётся по сути неизвестным.
Платформа Atlas от GlobalSign включает функцию обнаружения сертификатов, как и инструмент LifeCycle X от GMO. Данные обнаружения также напрямую используются для планирования автоматизации, поскольку платформы и типы инфраструктуры, на которых работает организация, определяют доступные подходы к автоматизации.
Подготовка к постквантовой эре строится на том же фундаменте
Постквантовая криптография привлекает значительное внимание в сфере PKI, и не без оснований. Идет процесс стандартизации квантово-устойчивых алгоритмов, и в конечном итоге организациям потребуется перевести свою сертификатную инфраструктуру на их использование. Эта миграция потребует обновления не только процессов выпуска сертификатов, но и всей экосистемы устройств, веб-серверов, балансировщиков нагрузки, HSM и другой инфраструктуры, с которой работают сертификаты.
Мюррей видит прямую связь между работой, которую организациям необходимо проделать сейчас для сокращения сроков действия, и тем, что им потребуется позже для перехода на постквантовые стандарты. Инфраструктура автоматизации, созданная для управления ротацией сертификатов, также станет механизмом поставки постквантовых сертификатов, когда они будут готовы к развертыванию. Организации, которые провели инвентаризацию и построили автоматизированные конвейеры обновления, смогут развертывать новые типы сертификатов на конечных точках, не начиная с нуля.
Организациям, которые будут ждать, придется столкнуться с двумя проблемами одновременно: адаптацией к сокращенным срокам жизни и миграцией на новые криптографические алгоритмы, и ни то, ни другое не является простой задачей без четкого понимания того, что и где работает.
Модель закупок также должна измениться
Сокращение сроков действия сертификатов создает проблему, выходящую за рамки операционной деятельности и затрагивающую сферу закупок. Традиционная модель покупки сертификатов, предполагающая приобретение пакета и их ежегодное продление, быстро перестает работать, когда сертификаты нужно заменять каждые 47 дней.
GlobalSign разработала лицензионный подход, основанный на альтернативных именах субъектов (SAN), а не на отдельных выпусках сертификатов. В рамках этой модели организации лицензируются по количеству уникальных полных доменных имен (FQDN), которые им необходимо охватить, измеряемому в реальном времени. Продление или замена сертификата для домена, уже включенного в лицензию, не занимает дополнительный лицензионный слот. Организации могут ротировать сертификаты так часто, как того требует их политика безопасности, без дополнительных затрат.
Компании, которые приобретают новые домены или расширяют свою инфраструктуру, могут добавить лицензии в середине года с пропорциональной оплатой. В сочетании с автоматизацией этот подход устраняет коммерческие барьеры, которые в ином случае сделали бы частое обновление сертификатов финансово нецелесообразным.
Автоматизация перестаёт быть опцией
Мюррей прямо говорит о тенденции: организации, которые всё ещё управляют сертификатами через электронные таблицы или процессы ручного продления, не смогут поддерживать это при сокращении сроков действия. Небольшие ИТ-отделы, рассматривающие управление сертификатами как один из пунктов в длинном списке обязанностей, столкнутся с простоями. Один просроченный сертификат, сам по себе недорогой, может вызвать серьёзные операционные сбои.
Для небольших организаций протокол ACME предлагает доступную точку входа. ACME, как открытый стандарт, позволяет автоматизировать продление сертификатов без необходимости в выделенной платформе управления жизненным циклом. Агенты, развёрнутые на серверах, автоматически обрабатывают процесс обновления, а протокол включает механизмы для массового отзыва. GlobalSign поддерживает ACME для всех типов своих сертификатов, включая сертификаты с проверкой организации и домена, и не взимает отдельную плату за использование ACME.
Для более сложных сред организациям может потребоваться комплексное решение для управления жизненным циклом. GlobalSign предлагает собственные инструменты, включая Atlas и Lifecycle X от GMO, а также работает со сторонними поставщиками через открытые API-интеграции. Крупные компании иногда создают собственные интеграции напрямую с этими API. Правильный подход зависит от масштаба среды, разнообразия задействованных платформ и внутренних возможностей по поддержке решения.
Мюррей признаёт, что страх перед автоматизацией реален, особенно среди организаций, годами управлявших сертификатами вручную. Некоторые ИТ-команды беспокоятся о совместимости агентов или о средах, где нет готового пути для автоматизации. LifeCycle X от GMO от GlobalSign включает возможности пользовательских скриптов и настраиваемые шаблоны для нестандартных платформ, а компания развила профессиональные услуги, чтобы помогать организациям с первоначальным внедрением ACME, развёртыванием агентов и настройкой платформ.
Экспертиза в области PKI дефицитна, и это важно
Один фактор, который часто упускают из виду в дискуссиях об управлении сертификатами, — это пробел в знаниях. Инфраструктура открытых ключей (PKI) — это специализированная область, и большинство организаций, особенно среднего размера, не имеют сотрудников с глубокой экспертизой в ней. Мюррей отмечает, что даже опытные ИТ-специалисты, хорошо разбирающиеся в безопасности, часто не знакомы со спецификой типов валидации сертификатов, требованиями соответствия и техническими компромиссами между различными подходами.
Этот разрыв в последнее время только увеличивается. Прошедший год принёс значительные изменения в требованиях соответствия для SSL, сертификатов для подписи кода и S/MIME, вызванные решениями Форума CA/Browser. Каждое изменение требует от организаций понимания того, что меняется, почему и какие шаги необходимо предпринять. Организации, у которых нет доверенного консультанта в сфере PKI, часто вынуждены самостоятельно собирать требования из обсуждений на форумах и сообщений поставщиков.
Мюррей утверждает, что это как раз та область, где важна специализация. GlobalSign фокусируется на PKI, что означает, что её команды продаж и инженеров по решениям могут детально разбираться в конкретных средах заказчиков. Для организации среднего рынка взаимодействие с центром сертификации, который понимает весь спектр вариантов использования сертификатов — от веб-серверов до подписи кода и сертификатов устройств, — это совершенно иной опыт по сравнению с работой с общей ИТ-сервисной компанией.
Время на подготовку сокращается
Порог в 200 дней вступает в силу 15 марта, и последующие шаги следуют по фиксированному графику. Для организаций, которые до сих пор управляют сертификатами вручную, этот график оставляет ограниченное время для выстраивания процессов, инструментов и внутренних знаний, необходимых для соответствия требованиям.
Путь, который рекомендует Мюррей, последователен независимо от размера организации: начните с инвентаризации, чтобы понять, что у вас есть; определите, какие платформы подходят для автоматизации; примените правило 80/20, чтобы взять под автоматизированное управление как можно больше сертификатов; и со временем решите оставшиеся сложные случаи. Для большинства организаций среднего рынка какая-либо версия ACME в сочетании с моделью лицензирования на основе SAN (Subject Alternative Name) обеспечивает рабочую отправную точку без необходимости крупных первоначальных инвестиций.
У организаций, которые рассматривают это как проблему будущего, время на решение заканчивается.