Superando o Desafio de Vida útil de Certificados Mais Curtos

Views: 443
0 0
Read Time:6 Minute, 9 Second

Poderíamos estar no meio de uma grande transição para uma vida útil de certificados cada vez mais curta, o que tem implicações significativas na forma como as organizações de TI gerenciam certificados em toda a empresa.

Em agosto de 2019, o Google introduziu o CA/Browser (CA/B) Forum Vote SC22 para reduzir os períodos de validade do certificado TLS (Transport Layer Security, segurança da camada de transporte) para um ano. Depois de muita discussão e milhares de comentários – a maioria em oposição – a cédula falhou e as vidas máximas de certificado permaneceram em dois anos. Ou assim pensamos. Embora os certificados mais curtos aumentem a segurança do ecossistema – e a expectativa de vida esteja cada vez mais curta –, o consenso geral na época era de que os certificados mais curtos colocariam muita carga nas equipes de TI sobrecarregadas.

Como um grupo voluntário, a CA/B não tem autoridade para forçar as organizações a aceitar unilateralmente tais resultados. Na verdade, o verdadeiro poder está em fornecedores como Apple e Google. Assim, na reunião do Fórum CA/B em fevereiro passado, a Apple anunciou que a partir de 1º de setembro, qualquer novo certificado de site válido por mais de 398 dias não será confiável pelo navegador Safari e, em vez disso, será rejeitado.

Ao implementar a política no Safari — que é usado em mais de um bilhão de dispositivos e computadores em todo o mundo —, a Apple efetivamente estabeleceu o padrão para a indústria. Desde então, Google e Mozilla se juntaram à Apple para limitar os certificados TLS públicos a 398 dias, também a partir de 1º de setembro.

Goste ou não, a validade do certificado mais curto está aqui para ficar. E as chances são de que os vários poderes que estão prontos ainda não foram feitos. Na verdade, poderíamos estar no meio de uma grande transição para uma vida útil de certificados cada vez mais curta, o que tem implicações significativas na forma como as organizações de TI gerenciam certificados em toda a empresa.

A composição do problema é o aumento dramático do número de dispositivos e aplicativos que exigem certificados. A maioria dos aplicativos e sistemas dependem de certificados digitais para conexões seguras, tornando a tarefa de gerenciar certificados desde a solicitação inicial até a renovação muito mais difícil.

Uma queimadura lenta 

Em muitos aspectos, os gestores de TI foram embalados em uma falsa sensação de complacência. No início, o tempo de vida do certificado de vários anos era a norma e os volumes de certificados eram gerenciáveis. Os sistemas Windows têm a capacidade de criar e renovar automaticamente os certificados, embora isso esteja limitado a armazenar o certificado no ponto final. Cada novo certificado ainda requer configuração manual com um aplicativo em muitos casos. Isso era um pouco aceitável quando os certificados eram válidos por dois ou mais anos.

Quando exceções como um sistema Linux ou Mac que não fazia parte do PKI corporativo baseado na Microsoft surgiram, eles foram tratados de forma única. Por padrão, isso levou à criação de processos manuais. Tais processos foram facilmente justificados dizendo que os certificados poderiam ser facilmente rastreados usando uma planilha, e como os números eram pequenos e as renovações de certificados eram de anos de diferença, não valia a pena o esforço para conseguir um produto para resolver o problema quando a solução existente era suficiente.

Mesmo quando o volume era pequeno, o gerenciamento de certificados X.509 usando métodos manuais nunca foi uma boa ideia. As pessoas cometem erros. Os certificados são esquecidos. Os prazos de validade foram feitos por tanto tempo (para evitar certificados esquecidos e vencidos) que a organização se expôs a possíveis violações de segurança. Além disso, as organizações tendem a subestimar a quantidade de cuidados e alimentação necessárias para gerenciar os certificados. Um processo de emissão manual sozinho pode levar de três a seis horas. Você tem que gerar um par de chaves, criar uma solicitação de assinatura de certificado (RSE), submetê-lo a uma autoridade de certificado (CA), esperar que um administrador de infraestrutura de chave pública (PKI) emita um certificado, baixar o certificado, configurar e atualizar o aplicativo usando o serviço e finalmente verificar se ele está ativo. Também ajuda se você tem um fundo sólido em PKI para que você não cometa erros ao longo do caminho.

Todos sabemos que nos últimos meses mudamos a forma como nos conectamos.Trazida a você por Neustar, Inc.

Devido ao esforço e tempo envolvidos com processos manuais quando as organizações conseguem cerca de 100 ou mais certificados X.509, geralmente é hora de adicionar um especialista pki dedicado em tempo integral para gerenciar certificados — se tal recurso pode ser encontrado. Dada a contínua escassez de habilidades de segurança cibernética, encontrar o recurso certo nunca é um dado. Quando as posições-chave não são preenchidas, o ônus para a gestão de certificados é espalhado por vários membros da equipe que já têm placas cheias, pressionando os orçamentos e criando espaço para erros e paralisações. E quando os certificados precisam ser renovados, a carga de trabalho associada à renovação em um sistema de gerenciamento de certificados baseado em planilhas é enorme. Dado tudo isso, não é de admirar que os membros da CA/B se opunham a uma vida útil de certificados mais curto.

Carrot and Stick

Se a vida útil do certificado for a vara, então a mudança para um sistema de gerenciamento de certificados totalmente automatizado (CMS) é a cenoura. [Nota do editor: A empresa do autor é uma das que oferecem CMSs.] Quando um CMS é usado para criar um certificado, ele tem todos os dados necessários para não apenas monitorar o certificado de expiração, mas provisr automaticamente um certificado de substituição sem intervenção humana. Isso libera sua equipe do Infosec do tédio de triturar através de planilhas longas para que eles possam realizar tarefas mais de valor agregado. Também elimina cerca de 90% das questões relacionadas ao certificado.

Como um stopgap, algumas organizações podem optar por um sistema de monitoramento e alerta de código aberto (MAS) barato ou aberto para rastrear certificados que não cumprem os requisitos ou estão prestes a expirar. Eles muitas vezes acreditam que um MAS será mais rápido e mais barato de implantar do que implementar um CMS. Embora alguns CMSs possam ser incrivelmente complexos, caros e demorados para instalar, existem ofertas de CMS disponíveis que podem ser facilmente instaladas e estendem o PKI baseado na Microsoft para englobar certificados que são instalados em sistemas e aplicativos fora da alçada do Active Directory, como dispositivos Linux ou MacOS.

Apesar da carga adicional colocada sobre a equipe de TI, a vida útil do certificado mais curto está aqui e só continuará a ficar mais curta. Em um futuro não muito distante, é possível que vejamos o tempo de vida do certificado tão curto quanto 30 dias simplesmente através das ações das forças externas. Para evitar colocar cargas irracionais na TI à medida que essas mudanças se tornam reais, as organizações precisam de visibilidade completa nas datas de validade dos certificados, juntamente com a automação abrangente em toda a sua infraestrutura criptográfica. Como escreveo analista do Gartner David Mahdi, agora é a hora de “investir nas pessoas, processos e tecnologia para ajudar a combater a gestão de certificados e evitar o tempo de inatividade e potenciais danos à marca”.

FONTE: DARK READING

POSTS RELACIONADOS