Muitas organizações não estão preparadas para mudanças radicais no setor que exigem automação obrigatória de certificados , de acordo com a GMO GlobalSign.
Pode haver mudanças significativas no mercado de infraestrutura de chave pública (PKI), sendo a questão mais urgente a decisão do Google de reduzir a vida útil dos certificados SSL/TLS. A solução para atender a esse chamado do Google e de outros navegadores é automatizar o gerenciamento de certificados.
No entanto, isto está a causar preocupação aos milhões de empresas em todo o mundo que dependem da PKI para conformidade de segurança, uma vez que muitas delas não estão preparadas para dar este salto.
Problemas de infraestrutura afetam a automação
A GMO GlobalSign perguntou sobre os desafios que as empresas enfrentarão quando o Google reduzir o certificado máximo para 90 dias.
30% dos entrevistados disseram que o aumento do trabalho administrativo e da complexidade eram as maiores preocupações. Também preocupante para os entrevistados é a possibilidade de atualizações de certificados raiz mais frequentes, como as atualizações esperadas da Mozilla definidas para 2024.
20% dos participantes da pesquisa acreditam que uma rotação de sete anos para certificados raiz é administrável e não causaria um impacto significativo.
15% dos que responderam estavam preocupados com custos e despesas gerais. Isto foi particularmente preocupante para pequenas empresas e websites, onde os custos adicionais podem não ser justificados pelos proprietários. Outros 30% expressaram preocupações com sistemas mais antigos ou legados, expirações frequentes, bem como desafios de segurança e conformidade.
Desafios de automação de certificados
38% dos participantes acreditam que as limitações técnicas e a compatibilidade são os maiores bloqueadores da automação . Isso inclui a falta de soluções prontas para uso para automatizar o gerenciamento de certificados, a falta de suporte para renovação automatizada em determinados sistemas ou ambientes (como Windows, IIS, Plesk) e a incompatibilidade de alguns sistemas com soluções automatizadas padrão.
Um quarto dos entrevistados aponta as restrições de custos e recursos como potenciais obstáculos. Isto inclui os custos associados ao desenvolvimento de um sistema de automação personalizado e os recursos necessários para gerenciar e manter soluções para gerenciamento automatizado de certificados.
20% dos participantes afirmam que a falta de conhecimento ou experiência é outro desafio potencial para a automação de certificados. Isto inclui não saber se os sistemas suportam a injeção de novos certificados e o reinício de serviços, ou não estar familiarizado com a automação em geral.
10% também citam preocupações de segurança, especialmente a governança e o controle de um sistema totalmente automatizado, bem como a necessidade de trilhas de auditoria, aprovação de segurança e supervisão em Autoridades de Certificação (CAs) públicas e gratuitas.
7% também expressam preocupações sobre os limites da infraestrutura. Isso inclui servidores protegidos por firewalls com políticas rígidas, equipamentos que não fornecem API ou outra facilidade para gerenciar o certificado e redes que não têm acesso à Internet.
“Está claro que existem muitos desafios para a automação de certificados, seja você uma organização de nível empresarial ou uma PME. Há muitas etapas a serem superadas antes que a grande maioria dos clientes possa oferecer suporte à automação total”, disse Doug Beattie , vice-presidente de gerenciamento de produtos da GMO GlobalSign.
“O lado positivo é que hoje existem ferramentas disponíveis para eliminar a pressão da automação de certificados. A nossa indústria não tem clareza sobre quando uma automação obrigatória de 90 dias pode se tornar real, mas a julgar pela nossa pesquisa, as organizações preocupadas devem começar a tomar medidas agora. No longo prazo, será útil para eles”, acrescentou Beattie.
FONTE: HELP NET SECURITY