0
0
Os certificados digitais não são como um bom vinho – eles não melhoram com o tempo. Eles são mais como medicamentos, perdendo a potência quanto mais tempo ficam sentados.
Então, quando o Google disse que adotaria uma vida útil de 90 dias para os certificados Transport Layer Security (TLS), isso fez sentido. Os certificados, também conhecidos como certificados Secure Sockets Layer (SSL), são tradicionalmente válidos por mais de um ano. Mesmo isso representa uma melhoria em relação à validade de até 10 anos que existia há uma década.
Esses certificados fornecem mais do que um pequeno ícone em forma de cadeado na barra de endereços dos navegadores da Web e um URL “https” para sites. O certificado atesta que o site é um domínio válido, protegido contra falsificação e criptografado para garantir navegação e transações seguras. Nestes dias de phishing desenfreado e fraude online, eles são um forte sinal para os usuários de que um site protege seus dados.
A lógica por trás da mudança do Google é clara : com os bandidos frequentemente melhorando seu jogo, a segurança não pode deixar essas proteções para uma atualização anual. Os operadores dos navegadores mais populares em uso atualmente – Apple, Microsoft, Mozilla e, sim, Google – têm trabalhado para reduzir a vida útil dos certificados , incentivados por seu grupo de trabalho, o CA/Browser Forum . A Apple reduziu seus certificados do navegador Safari para um ano em 2020 , pressionando outros para encurtar o período. A ação do Google provavelmente estimulará ações semelhantes.
Os certificados TLS expirados são mais do que uma oportunidade de crime cibernético, eles também são uma causa de interrupções de serviço, tornando as conexões não privadas e as comunicações não seguras – impedindo os usuários de concluir seus negócios. Este problema continua a impactar uma série de grandes empresas, incluindo grandes nomes como Shopify , Cisco , Starlink e Microsoft .
O desafio do certificado de 90 dias
O gerenciamento do ciclo de vida dos certificados (CLM) é um desafio constante para os administradores, especialmente para as grandes organizações que podem ter centenas ou milhares de certificados para gerenciar. Uma pesquisa descobriu que a média era superior a 50.000 e o número aumentou mais de 43% ao ano. As empresas de hoje, que dependem fortemente de ativos e automação baseados em nuvem, não podem economizar no gerenciamento de certificados se quiserem continuar operando sem problemas. Uma série de práticas recomendadas para alcançar a criptoagilidade são fundamentais para enfrentar esse desafio:
- Ganhe visibilidade: Ter uma visão clara dos certificados é fundamental para gerenciar renovações e remoções. A verificação regular ajuda a identificar certificados existentes e descobrir novos que devem ser contabilizados; uma pesquisa observou que 15% dos certificados encontrados eram autoassinados — não gerenciados por nenhuma autoridade confiável , mas pelos próprios desenvolvedores — e um quinto deles estava expirado. Este processo de descoberta deve gerar um inventário central para rastrear todos os detalhes dos certificados, tais como a sua localização e data de validade, a autoridade certificadora que os validou e outros metadados relevantes.
- Rastreie os prazos de validade: a automação pode ajudar a rastrear e manter as renovações de certificados, enviando alertas para a equipe relevante em tempo hábil. Uma vez que haja um inventário de certificados, renová-los antes do vencimento ou providenciar uma renovação automática pode evitar que eles caiam no esquecimento. A automação também pode garantir que os certificados sejam provisionados e configurados corretamente e tenham a ligação correta a um endpoint.
- Aplicar padrões de criptografia: a criptografia é o molho secreto dos certificados, portanto, determinar o nível certo de criptografia garante a segurança da infraestrutura. A análise de certificados em busca de indicadores como tamanho e força da chave ou algoritmos de assinatura pode detectar aqueles que usam padrões de criptografia inseguros ou obsoletos. A adoção de ferramentas que possam atualizar rapidamente esses padrões em escala com o mínimo de interrupções ajudará a evitar interrupções, violações ou problemas de conformidade.
- Estabelecer governança: a automação pode ajudar a gerenciar certificados, mas requer uma política subjacente para impor a governança da infraestrutura de chave pública (PKI) que supervisiona a proteção de dados, o provisionamento de identidades de usuários e a segurança de comunicações de ponta a ponta. Uma política estável em todas as unidades da organização padronizará a emissão e o gerenciamento de certificados, regulará as permissões de dimensionamento correto para cada caso de uso de negócios com controle de acesso baseado em função (RBAC) e simplificará a auditoria estabelecendo procedimentos para criar trilhas de auditoria e relatórios periódicos para detectar anomalias, fraquezas e problemas de conformidade.
- Chaves de bloqueio: As chaves privadas são o bloqueio mestre que protege informações confidenciais, mas a prática de salvá-las em arquivos de texto desprotegidos as deixa abertas à exploração. Salvá-los em um cofre de software criptografado ou em um módulo de segurança de hardware certificado (HSM) oferece melhor proteção, especialmente se permitir a rotação automatizada de chaves para substituí-los regularmente. Isso minimiza a chance de erro humano (aquelas credenciais reutilizadas que resultam em tantos comprometimentos). Além disso, o uso de cofres de senha para proteger credenciais baseadas em dispositivos oferece uma camada adicional de segurança.
O desafio de proteger usuários, aplicativos e dispositivos e, ao mesmo tempo, garantir a disponibilidade e a continuidade provavelmente não diminuirá tão cedo. A proposta do Google apenas agrava o desafio, já que em breve os certificados TLS precisarão ser renovados a cada três meses, em vez do atual período de 13 meses. Automatizar o CLM é o único caminho a seguir para administradores de PKI e de segurança da informação que já enfrentam dificuldades com o gerenciamento de certificados atualmente.
À medida que mais autoridades de certificação e fornecedores de navegadores adotarem a nova recomendação de validade TLS do Google – como fizeram com a Apple antes – o CLM manterá seu lugar na lista de preocupações do administrador. A implementação de um processo eficiente, escalável e ágil para automatizar os processos CLM oferece um caminho a seguir que não apenas reduz o trabalho manual associado ao gerenciamento de certificados, mas também o risco de interrupções dispendiosas nos negócios .
FONTE: DARKREADING