Google richiede certificati TLS di 47 giorni: perché l'automazione è fondamentale
Google ha annunciato nella sua roadmap “Moving Forward, Together” l'intenzione di ridurre la validità massima possibile per i certificati TLS pubblici da 398 giorni a 47 giorni, in un futuro aggiornamento della policy o in una proposta di votazione del CA/B Forum. Questa riduzione a soli 47 giorni di validità massima comporterà grandi cambiamenti per il settore.
La tendenza alla riduzione della durata di vita dei certificati è stata prevista da Sectigo già nel 2019. Negli ultimi anni la durata massima di un certificato TLS (detto anche SSL) pubblico è scesa da tre anni a due o uno, e ora Google ha dichiarato di voler ridurre ulteriormente la durata a 47 giorni.
In questo articolo, il team di Sectigo analizzerà: il significato di questo annuncio e il suo impatto sulla gestione dei certificati, nonché l'importanza della gestione automatizzata dei certificati e le modalità di implementazione.
L'annuncio di Google sui certificati di 47 giorni e il suo significato
L'affermazione di Google, secondo cui applicherà questo provvedimento tramite “un futuro aggiornamento della politica o una proposta di votazione del forum CA/B”, è un dettaglio sottile ma importante che merita di essere notato. Sembra che Google stia dicendo che se il CA/B Forum decide di apportare questa modifica al settore attraverso un processo di votazione, è fantastico. Tuttavia, Google è pronta a imporre unilateralmente questo cambiamento rendendolo un requisito per il programma root di Chrome, il che lo renderebbe uno standard de facto che ogni CA pubblica commerciale dovrà seguire. Poiché i browser controllano i propri requisiti del programma di root, questa modifica può avvenire anche in assenza di un mandato del CA/B Forum.
Google sta deliberatamente anticipando le sue intenzioni per dare al settore e ai consumatori di certificati il tempo di prepararsi all'inevitabile transizione e alle implicazioni che ne derivano.
Per i CISO e i loro team, l'implicazione più ovvia è il modo in cui affronteranno la gestione dei certificati digitali con durata di vita più breve. La gestione manuale dei certificati diventerà una pratica insostenibile e sarà essenziale iniziare a pensare al passaggio all'automazione.
I rischi del rinnovo manuale dei certificati
Anche se tecnicamente le aziende possono ancora gestire manualmente i certificati digitali con durata massima di 47 giorni, il rinnovo e la distribuzione manuale diventeranno rapidamente sempre più rischiosi. I rischi della gestione manuale includono:
- Rischio di errori: Un maggior numero di rinnovi significa un maggior potenziale di errore umano, poiché questa attività dovrà essere completata quattro volte all'anno anziché una.
- Richiede risorse significative: i certificati di 47 giorni non solo comportano un rischio quattro volte maggiore di errore umano, ma anche quattro volte il lavoro che i team di sicurezza IT attualmente dedicano a questo compito già arduo.
- Non è scalabile: Man mano che le organizzazioni crescono e hanno più certificati digitali da gestire, l'emissione e il rinnovo manuale dei certificati diventerà meno sostenibile.
- Potenziali interruzioni e violazioni dei dati: L'uso non corretto dei rinnovi dei certificati digitali può causare interruzioni SSL/TLS e violazioni dei dati.
- Rischi complessivi per la cybersecurity: Gli attori maligni creano sempre tecniche più sofisticate per sfruttare i punti deboli della cybersecurity di un'organizzazione, che possono portare a gravi conseguenze. Un'enorme vulnerabilità che saranno pronti a sfruttare? La mancanza di crittografia che un certificato SSL fornisce. Ad aggravare questi rischi c'è il fatto che per quasi tutte le organizzazioni il numero di certificati digitali che devono gestire continua a crescere rapidamente. Non si tratta di un certificato da gestire quattro volte all'anno, ma di decine, centinaia o migliaia di certificati digitali. .
Se a ciò si aggiungono le difficoltà esistenti, come i certificati non validi, la visibilità sulle decisioni crittografiche e la distribuzione individuale, la gestione manuale diventa impraticabile. Non si tratta di un lavoro che può essere facilmente svolto manualmente oggi e, in futuro, le organizzazioni che adottano ancora un approccio manuale ne pagheranno quasi certamente il prezzo.
La strada da seguire è chiara: è ora di automatizzare.
L'importanza della gestione automatizzata del ciclo di vita dei certificati
I malintenzionati sono spesso un passo avanti e saranno pronti ad approfittare delle organizzazioni che non ripensano il loro approccio alla gestione dell'identità umana e meccanica sulla scia della riduzione della durata di vita dei certificati digitali. È il momento di agire. In definitiva, le organizzazioni devono disporre di una soluzione end-to-end per automatizzare il ciclo di vita dei certificati digitali, su scala.
Per ridurre i rischi, l'automazione è fondamentale. Non è solo la durata dei certificati a diminuire, ma anche la durata del riutilizzo della convalida del dominio. Oggi, i requisiti di base consentono il riutilizzo di dati o documenti relativi a convalide di dominio completate in precedenza per un massimo di 398 giorni. Google ha inoltre dichiarato l'intenzione di ridurre i periodi di riutilizzo della convalida del dominio a 47 giorni, affermando che “una convalida del dominio più tempestiva proteggerà meglio i proprietari dei domini, riducendo al contempo la possibilità che una CA si basi erroneamente su informazioni stantie, non aggiornate o comunque non valide, con conseguente emissione errata di certificati e potenziali abusi”. Si tratta di un dettaglio importante da notare, perché le aziende devono non solo gestire i certificati digitali nei loro sistemi, ma anche verificare nuovamente i loro domini ogni 47 giorni.
Come automatizzare l'emissione e il rinnovo dei certificati
Con gli strumenti e la piattaforma giusti, l'automazione della gestione dei certificati è un processo senza soluzione di continuità. Innanzitutto, è fondamentale trovare una piattaforma di gestione del ciclo di vita dei certificati (CLM) agnostica rispetto alle CA. Questo tipo di soluzione di gestione dei certificati aiuta a individuare i certificati digitali in vasti ambienti aziendali, indipendentemente dall'autorità di certificazione che li ha emessi, a notificare l'imminente scadenza dei certificati e a eseguire automaticamente il provisioning e l'installazione dei certificati di rinnovo e di sostituzione. In questo modo, contribuiscono a evitare interruzioni e violazioni dovute all'uso o al rinnovo non corretto dei certificati digitali, semplificando al contempo il monitoraggio dei cicli di vita in un'unica posizione centralizzata.
Adattarsi a durate di vita dei certificati più brevi
Quando si passa all'automazione, è importante utilizzare un CLM di un'autorità di certificazione affidabile. È qui che entra in gioco Sectigo. Sectigo Certificate Manager (SCM) è il CLM agnostico di CA più robusto del mercato. SCM è costruito per automatizzare il ciclo di vita di tutti i certificati digitali, indipendentemente dalla loro origine. SCM offre:
- Supporto per il protocollo Automated Certificate Management Environment (ACME).
- Supporto del protocollo SCEP (Secure Certificate Enrollment Protocol).
- Supporto per Enrollment Over Secure Transport (EST).
- Uno strumento di automazione proprietario che consente la gestione dei certificati per una serie di sistemi, tra cui Apache Tomcat, server web Windows IIS e bilanciatori di carico F5 Big-IP.
- API REST: In alcuni casi, le aziende preferiscono integrare le applicazioni in modo più stretto con Sectigo, il che è possibile utilizzando l'API REST di Sectigo.
SCM si integra anche con un'ampia gamma di fornitori di tecnologia. I team IT possono automatizzare l'emissione e la gestione dei certificati digitali Sectigo, oltre a quelli di altre CA pubbliche e private come Microsoft Active Directory Certificate Services (ADCS), AWS Cloud Services e Google Cloud Platform (GCP).
Questo si aggiunge alle integrazioni con le più diffuse piattaforme DevOps come Kubernetes, Docker, HashiCorp e più di una dozzina di tecnologie leader, tra cui le principali piattaforme di Load Balancer come Amazon, Google, F5, A10 Networks e Kemp, le più diffuse CDN come Akamai e Amazon e persino applicazioni di notifica come Microsoft Teams e Slack.
Scoprite perché Sectigo Certificate Manager è il primo e più completo CLM CA agnostico sul mercato.
Per saperne di più, scaricate il nostro webinar sulla validità dei certificati di 47 giorni.