Незалежно від того, чи це сертифікати SSL/TLS, підписання електронної пошти, підписування коду, сертифікати клієнта, пристрою чи Інтернету речей, цифрові сертифікати є основою довіри для вашої організації в епоху цифрових технологій. Неправильне керування сертифікатами і, отже, неправильне керування цифровою довірою вашої організації, може призвести до катастрофічних наслідків. Дотримання прийнятих галузевих найкращих практик керування життєвим циклом сертифікатів може допомогти вашій організації уникнути простоїв, порушень та інших інцидентів.

• Масовани збої
  Коли закінчується термін дії сертифікатів, веб-сайти ламаються, програми не працюють, а бізнес зупиняється. І ці проблеми впливають не лише на ваш бізнес — усі, хто покладається на вашу організацію, також стикаються з перебоями та простоями.
• Розгнівані та сердити клієнти та партнери
  У бізнесі довіра – це валюта. Ваші клієнти, ваші партнери – вони довіряють вам, що ви відкриті, легко впізнавані та доступні ваші послуги. Якщо цього не станеться, ваш бренд і репутація можуть постраждати надовго.
• Нормативні штрафи та штрафи за недотримання вимог законодавства
  Шифрування та аутентифікація є найважливішими компонентами нормативно-правової бази. Те саме стосується і цифрових сертифікатів і ключів.
• Критичні та дорогі витоки даних
  Закінчення терміну дії сертифіката – це більше, ніж просто попередження браузера HTTP. Це може відкрити двері для значно більших атак і руйнівних витоків даних.

Надійне керування сертифікатами – це більше, ніж просто використання інструменту керування. Це також вибір інструменту, який найкраще відповідає потребам вашої організації та бюджету, і впровадження його найкращим чином для досягнення ваших цілей.

15 лучших практик

1. Створіть політику керування сертифікатами
   Встановити параметри. Укажіть, хто уповноважений виконувати різні завдання, що ви хочете розгорнути та як це має бути зроблено.
   • Яки цифрові сертифікати використовуються у вашій організації
   • Особи та / або ролі, залучені до керування сертифікатами
   • Дозволи, які має кожна особа або роль
   • Ваш доверений ЦС
   • Конкретні сертифікати, які використовуються для кожного випадку використання, зокрема:
     • Рівень сертифіката DV OV EV
     • Параметри сертифіката FQDN SAN Wildcard
2. Відмовтеся від ручних методів і централізуйте керування сертифікатами
   Відмовтеся від ручних методів і централізуйте керування сертифікатами. Невеликі організації люблять вручну керувати сертифікатами за допомогою електронних таблиць та інших окремих інструментів. Але конфлікти ресурсів, інструментів і людей з усієї вашої організації є неефективним і може призвести до головной болі бо ваша організація зростає. Керування сертифікатами вручну зазвичай не масштабуеться. Якщо ви не є технічно розвиненою та складною охоронною організацією, яка розкручує приватне управління, рішення теж не ідеальне. Ось чому багато компаній обирають централізоване керування життєвим циклом сертифікатів сторонніх розробників (CLM) рішення. Використання централізованого інструменту CLM дає вам повну видимість життєвого циклу керування сертифікатами та ІТ-середовища. Ти будеш знати
   • які сертифікати існують у вашій мережі,
   • де вони розташовані,
   • для чого вони використовуються,
   • хто відповідає за їх обслуговування та
   • коли вони закінчаться.

   Також Ви зможете спростити процес генерації сертифіката, попередньо налаштувавши обов’язкові та додаткові поля та значення сертифіката за допомогою інструменту програмного забезпечення DigiCert Trust Manager.

3. Систематично скануйте свою мережу на наявність невідомих сертифікатів
   Тіньові сертифікати - це бомби уповільненої дії, які будь-якої миті готові підірвати ваш захист. Ці цифрові сертифікати, отримані поза стандартними процедурами, спричиняють незліченну кількість незапланованих закінчень терміну дії . Хороша новина полягає в тому, що їм легко запобігти: зрештою ви знайдете тіньові сертифікати. Часте сканування, в ідеалі, щотижня, гарантує, що ви їх не знайдете надто пізно.
   • Запустіть сканування виявлення (внутрішнє та зовнішнє) у вашій мережі, щоб переконатися, що тіньові тіньові сертифікати не вислизають від вашого контролю.
   • Відстежуйте журнали CT для ваших доменів через API та встановлюйте сповіщення електронною поштою, щоб гарантувати, що сертифікати не проскочать.
   • Коли ви знайдете тіньовий сертифікат, поговоріть із запитувачем, щоб навчити його належним процедурам для використання в майбутньому.
4. Налаштуйте детально дозволи і повноваження
   Застосуйте принцип найменших привілеїв до керування сертифікатами. Призначайте дозволи користувачам, запитувати, затверджувати та відкликати сертифікати, надаючи їм лише ті дозволи, які їм необхідні. Тут стане в нагоді Політика операцій, яку ви створили на першому кроці. Там вже має бути все задокументовано. Ви можете швидко та легко призначати дозволи за користувачами, ролями, відділами, компаніями, філіями тощо, із своєї платформи керування сертифікатами. З великою силою приходить велика відповідальність. Переконайтеся, що у вас є відповідні люди, які можуть виконувати ці важливі функції, і надайте їм - і тільки їм - доступ для їх виконання.
5. Створіть робочи процеси затвердження та ескалації
   Оскільки ви обмежуєте дозволи співробітників, запити на видачу, поновлення та відкликання потрібно буде направляти потрібним сторонам. Щоб переконатися у відсутності вузьких місць, якщо, скажімо, працівник відсутній або залишить компанію, також має бути шлях ескалації. Почніть із співробітника найнижчого рівня, який має дозвіл виконувати запит. Зробіть ескалацію протягом наступних кількох годин, днів або тижнів, щоб забезпечити вчасне вирішення проблем. Це особливо важливо для поновлення сертифікатів, щоб гарантувати відсутність резерву для простою через прострочений сертифікат.
6. Випускайте всі сертифікати з повністю керованої PKI
   Уникайте самопідписаних сертифікатів. Для деяких організацій найпростішим і найбезпечнішим варіантом є завжди використовувати сертифікати, видані загальнодовіреним центром сертифікації, навіть у вашій приватній мережі. Це надає вам необхідні сертифікати, видані повністю перевіреним центром сертифікації з мінімальним навантаженням на керування. Що б ви не робили, ніколи не використовуйте самопідписані сертифікати. Якщо у вашій компанії є сценарій використання, який вимагає видачі власних сертифікатів, наприклад, неіснуючий домен, переконайтеся, що ви видаєте сертифікати від повністю керованого приватного ЦС, який пропонує:
   • Журнал сертифіката
   • Список відкликаних сертифікатів (CRL)
   • Емісійна політика та аудит
   • Тестування вразливостей
7. Підтвердіть свою цифрову ідентичність
   Використовуйте сертифікати OV або EV. Не використовуйте DV сертифікати на публічних серверах, вони призначені для тестування або спілкування сервер-сервер. Сертифікати організації та розширеної перевірки дають вам більше контролю над тим, хто видає сертифікати для ваших властивостей. Крім того, вони роблять ваш веб-сайт більш професійним, ніж базовий сертифікат перевірки домену, оскільки вони виводять вашу підтверджену цифрову особу на передній план. На нашу думку, це безпрограшний варіант як для організацій, так і для клієнтів. Але в індустрії є затяті любителі безкоштовних сертифікатів DV SSL/TLS. Безкоштовний сир буває тільки в мишеловке... Однак ми також повинні зазначити, що безкоштовни сертифікати також є основними інструментами для кіберзлочинців. PhishLabs повідомляє, що 94,5% фішингових атак домену використовували сертифікати DV SSL/TLS. Скажемо по-іншому: шифрування = безпечно, але шифрування ≠ безпечно. Це безпечно, лише якщо воно безпечне, цілісність повідомлення захищена, і ви знаєте, хто на іншому кінці з’єднання отримує ваші дані. Зловмисники можуть використовувати ці безкоштовні сертифікати на своїх фішингових веб-сайтах, щоб вони виглядали легітимніше. Але без можливості перевірити автентичність вашого веб-сайту за допомогою цифрової ідентифікації, яку можна перевірити, відвідувачі можуть не відрізнити ваш веб-сайт від веб-сайту самозванця. Це погана новина для вас і ваших клієнтів і чудова новина для поганих хлопців у всьому світі.
8. Оптимізуйте перевірку організацію, щоб миттєво видавати всі сертифікати
   Незалежно від того, чи хочете ви автоматизувати організаційну (OV) чи розширену (EV) перевірку організації, правильне рішення для керування сертифікатами дозволить вам один раз перевірити за допомогою DigiCert, а потім не робити це знову протягом наступних 12 місяців. Вам буде не потрібно чекати декілька днів на перевірку - видача сертифіката стає миттєвою!
9. Автоматизуйте весь процес видачі сертифікатів
   Незважаючи на те, що автоматична перевірка сертифікатів чудова, це не єдина автоматизація, яку ви можете застосувати, коли йдеться про керування сертифікатами. Ви також можете автоматизувати інші важливі кроки в процесі видачі сертифіката:
   • Генерація пар ключів
   • Створення та надсилання запитів на підпис коду генерація CSR
   • Встановлення сертифікатів

   Ви можете заощадити час, автоматизувавши ці процеси за допомогою інтеграції, наприклад, попередньо створеного агента сервера, API, інтеграції Active Directory, протоколу ACME та/або інструменту керування ключами тощо. Але на цьому цікаве не закінчується , однак. Ви можете використовувати автоматизацію й іншими способами...

10. Автоматизуйте встановлення сертифікатів
    Встановлююте вручну сертифікати? Деякі інтеграції, напріклад server agent, API, Active Directory/Microsoft CA, протокол ACME тощо, дають змогу налаштувати процес встановлення сертифікату та забути, таким чином повністю усуваючи цей тягар. Хоча особливості відрізняються від однієї платформи до іншої, концепція однакова: установіть клієнт на вашому сервері та / або кінцевій точці, який оброблятиме все, що стосується встановлення та налаштування ваших цифрових сертифікатів.
11. Автоматизуйте всі поновлення
    Знову ж таки, незалежно від того, який механізм ви використовуєте для досягнення можливостей Zero-Touch (API, Active Directory, ACME тощо), ви також зможете автоматизувати цикл оновлення. Просто налаштуйте свою платформу керування для оновлення та навіть ротації ключів через задані проміжки часу, і вона подбає про все інше у фоновому режимі. Це особливо важливо, якщо взяти до уваги зміну ландшафту навколо періодів дії сертифікатів SSL/TLS. За останні кілька років ми спостерігали кроки, спрямовані на скорочення життєвого циклу сертифіката. Вони перейшли з двох років (825 днів) до трохи більше року (398 днів). Чим коротшими стають періоди, тим важче буде керувати всіма вашими сертифікатами вручну. Якщо хоча б один сертифікат випадково потрапить в цю сітуацію та закінчиться, вашу організацію чекає цілий світ болячек.
12. Налаштуйте сповіщення
    Як мінімум дві сторони повинні бути повідомлені про закінчення терміну дії кожного сертифіката принаймні за 30 днів. Чому хоча б дві? Оскільки у вас буде більше шансів подбати про сертифікат до закінчення терміну його дії, незалежно від того, чи люди у відпустці, чи звільняються з компанії. Простіше кажучи, навіть під час використання автоматизації сповіщення кількох людей служить запобіжним заходом у випадку, якщо щось не вийде. Якщо ви поновлюєте за 30 днів до закінчення терміну дії, установіть сповіщення за 15 днів до цього. Якщо ви отримали сповіщення, це означає, що щось пішло не так, і у вас ще є два тижні, щоб вирішити проблему. Поновлення — не єдина причина для встановлення сповіщень — вам також слід налаштувати сповіщення про запити, що очікують на розгляд, відкликання, повторну видачу тощо.
13. Регулярно створюйте та переглядайте звіти
    Відповідність вимогам - це трудомісткий і обтяжливий процес, який потрібно виконати. Наявність платформи керування сертифікатами також може допомогти вам полегшити цей тягар. DigiCert платформа керування сертифікатами створюють вичерпні звіти, які допомагають бути в курсі наступного:
    • Майбутні закінчення терміну дії
    • Зведені дані щодо всіх активних сертифікатів
    • Сертифікати зі строком дії, що минув.
    • Очікуючі запити
    • Виявлені вразливості та тіньові сертифікати
14. Надійно зберігайте свої ключі сертифікатів
    Ваші особисті ключі – це секретний елемент, який дозволяє вашим сертифікатам робити те, що вони роблять. Якщо хтось заволодіє хоча б одним із цих ключів, гра для вашої сумлінності та репутації закінчується. Якщо можливо, захищайте свої ключі, зберігаючи їх у безпечному криптографічному рішенні, такому як сховище ключів або апаратний модуль безпеки (HSM). Наприклад, HSM — це пристрій, який служить ізольованим безпечним місцем для зберігання ключів, одночасно дозволяючи їх використовувати. Таким чином, авторизовані користувачі все ще можуть використовувати ключі за потреби, не ризикуючи своїм доступом через прямий доступ. Щоб відповідати новим галузевим стандартам, усі сертифікати підпису коду та ключі мають бути безпечно згенеровані та збережені на FIPS 140-2 рівня 2, Common Criteria EAL 4+ або еквівалентних сумісних фізичних криптографічних пристроях або хмарних рішеннях для криптографічного зберігання. Уважно перевіряйте свої процеси та системи, щоб уникнути ненавмисного розкриття ваших закритих ключів. Ось кілька типових способів випадкового розкриття ключів:
    • Зберігання ключів на ПК, який не повністю захищений
    • Копіювання / вставлення ключів у електронні листи, внутрішнє або за допомогою постачальника
    • Зберігання ключів у каталозі, доступному з веб-сторінки
15. Пошук вразливостей
    Сертифікати та реалізації TLS також можуть мати вразливості. Ось чому важливою частиною керування сертифікатами є сканування вразливостей. Є багато вразливостей, пов’язаних із сертифікатами, про які команди безпеки підприємства повинні стежити, як-от алгоритм хешування SHA-1, 1024-бітний розмір ключа та застарілі протоколи, такі як SSLv3. Заплануйте регулярне сканування вразливостей і переконайтеся, що повідомлення про виявлені проблеми надсилаються принаймні двом сторонам.