Sfiducia in Entrust: come passare a una nuova Autorità di certificazione
Entrust, un'autorità di certificazione (CA) un tempo affidabile, ha dovuto affrontare una battuta d'arresto significativa: Google e Mozilla hanno annunciato che non si fideranno più dei certificati SSL/TLS di Entrust a causa di problemi di sicurezza. Questa mossa lascia gli attuali clienti di Entrust alle prese con la ricerca di CA alternative per garantire connessioni digitali sicure, evitare potenziali rischi di cybersecurity e assicurare una protezione continua. Questo blog illustra i passaggi per la migrazione dei certificati, sottolineando l'importanza della gestione attiva e dell'automazione per mantenere la sicurezza digitale.
Articolo aggiornato l'11 settembre 2024 a causa dell'ultimo annuncio di Google.
Entrust era un tempo un nome nel mercato dei certificati SSL (Secure Sockets Layer) / TLS (Transport Layer Security) di cui molte organizzazioni si fidavano. In qualità di Autorità di Certificazione (CA) impegnata nella sicurezza delle connessioni, questa azienda lavora per contribuire a creare esperienze digitali sicure, salvaguardando reti e dispositivi vulnerabili. Purtroppo Entrust non è stata all'altezza di questa promessa e, con Google che non si fida più dei certificati digitali di Entrust per impostazione predefinita e Mozilla che ha seguito l'esempio e non si fida più di questi certificati, gli attuali clienti di Entrust SSL si trovano a dover cercare una soluzione.
Questo è un momento che apre gli occhi a coloro che un tempo dipendevano da Entrust per la fornitura di crittografia e autenticazione robuste. Con due dei maggiori attori del mondo digitale che esprimono evidenti dubbi sulla capacità di Entrust di proteggere gli utenti, è diventato chiaro ai clienti attuali che è necessario esplorare altre strade. Passare a un'altra autorità di certificazione può sembrare un processo complicato, ma con la sicurezza informatica della vostra organizzazione in gioco, è necessario.
La scelta di una CA di fiducia con cui collaborare renderà la transizione semplice e non comporterà alcuna complicazione. Il nostro team di Sectigo è lieto di guidare questo processo e di garantire una maggiore tranquillità durante la ricerca della nuova normalità. Continuate a leggere per scoprire cosa sta succedendo ad Entrust, quali sono le implicazioni in termini di cybersicurezza per i clienti di Entrust e cosa occorre per migrare a una nuova autorità di certificazione per i vostri servizi di certificati SSL.
Capire cosa è successo a Entrust
In un recente annuncio di Google, il gigante di Internet ha condiviso l'intenzione di, come spiega Forbes, “revocare i certificati Transport Layer Security emessi da Entrust... per dare priorità alla sicurezza e alla privacy degli utenti di Chrome”. Forbes aggiunge che si tratta di una questione importante, data la responsabilità della CA di “fungere da base per le connessioni crittografate su cui gli utenti fanno affidamento tra il loro browser web e Internet”.
Secondo il team di sicurezza del browser Google Chrome, “i rapporti sugli incidenti divulgati pubblicamente [hanno] evidenziato uno schema di comportamenti preoccupanti da parte di Entrust che non sono all'altezza delle aspettative”, aggiungendo che questo ha “eroso la fiducia nella competenza, nell'affidabilità e nell'integrità di [Entrust] come azienda di fiducia pubblica”.
Di conseguenza, gli utenti che si recano su siti con certificati digitali Entrust si troveranno di fronte a messaggi che indicano che le loro connessioni non sono sicure o private. Attualmente, i certificati SSL/TLS firmati il 12 novembre o prima di tale data dovrebbero rimanere validi, ma tutto cambierà il 12 novembre, quando i certificati SSL/TLS di Entrust saranno diffidati.
In risposta a questo fiasco, l'amministratore delegato di Entrust, Todd Wilkinson, ha rilasciato una dichiarazione in cui spiega: “I nostri recenti episodi di emissione errata sono nati da un'errata interpretazione dei requisiti di conformità di CA/Browser Forum. Nel tentativo di risolvere il problema, le nostre modifiche hanno creato ulteriori errori di emissione non legati alla sicurezza”.
Sebbene Wilkinson sostenga che Entrust abbia modificato i processi e le politiche chiave per risolvere questi problemi, rimane un problema centrale: i clienti Entrust precedentemente soddisfatti potrebbero non sentirsi più sicuri che i loro certificati SSL forniscano una protezione sufficiente.
Come passare a una nuova autorità di certificazione
Poiché i siti che utilizzano certificati Entrust emessi dopo l'11 novembre 2024 vengono segnalati come non sicuri su Chrome, è il momento di cambiare. Certo, i certificati attuali possono tecnicamente rimanere validi, ma vale la pena di chiedersi: attualmente forniscono una protezione sufficiente? Per evitare di perdere la copertura, seguite questi passaggi per iniziare la migrazione a una nuova CA con il minimo disturbo:
Passo 1: valutare la situazione attuale
Prima di tutto è necessario identificare e comprendere tutti i certificati digitali attualmente in uso, in particolare quelli emessi da Entrust. L'individuazione dei certificati è una fase estremamente importante del processo complessivo di gestione del ciclo di vita dei certificati, perché la piena visibilità dell'intero inventario di certificati vi aiuterà a evitare interruzioni.
Un altro aspetto essenziale? Determinare in che misura la vostra organizzazione dipende attualmente dalle funzioni o dalle soluzioni della CA originaria. Dopo tutto, l'acquisizione di nuovi certificati non è sempre un grosso problema, ma l'adeguamento di processi consolidati (come la gestione automatizzata del ciclo di vita dei certificati) può richiedere uno sforzo maggiore. Una volta capito quali sono le caratteristiche più importanti per voi, sarete più preparati a scoprire funzionalità simili da altre CA.
Fase 2: scegliere una nuova Autorità di certificazione
Esistono diverse Autorità di certificazione tra cui scegliere. Fate le vostre ricerche per evitare futuri fallimenti, come l'attuale situazione di Entrust. Nell'esaminare le varie Autorità di certificazione, osservate attentamente le qualità e le avvertenze. Certo, il prezzo è importante, ma non dovrebbe essere la considerazione principale. La scelta si basa piuttosto su aspetti quali:
- Assistenza clienti: Sia che dobbiate affrontare problemi tecnici o preoccuparvi della conformità, volete sentirvi sicuri che gli esperti della vostra nuova CA si prenderanno il tempo necessario per rispondere alle vostre domande e alle vostre preoccupazioni. Osservate attentamente gli strumenti di supporto disponibili e i tempi di risposta per avere la certezza di ricevere costantemente l'aiuto di cui avete bisogno.
- Reputazione generale: Come viene considerato il vostro potenziale nuovo CA dai leader del settore? In caso di dubbio, optate per un CA con una solida reputazione. Osservate attentamente le recensioni, i premi e le revisioni per verificare come il vostro futuro CA sia percepito nell'ecosistema digitale.
- Sicurezza e conformità: Visti gli attuali problemi con Entrust, è chiaro che la sicurezza deve essere una priorità per qualsiasi CA. La verifica migliore è l'esame delle politiche della CA, complete di informazioni sulle pratiche crittografiche e sulla risposta agli incidenti.
- Funzionalità della piattaforma di automazione: Un approccio automatizzato alla gestione del ciclo di vita dei certificati (CLM) può migliorare la copertura, minimizzando l'impegno manuale e riducendo al contempo il rischio di scadenza dei certificati e le relative interruzioni o tempi di inattività. Cercate CA che offrano soluzioni CLM robuste e automatizzate, complete di piattaforme centrali facili da navigare.
- Integrazioni: A seconda delle vostre esigenze DevOps, potreste essere attratti da CA con solide integrazioni nel vostro attuale stack tecnologico. Migliorate l'architettura di rete e stabilite la fiducia digitale in tutti gli hardware, i software e i componenti pertinenti. Una piattaforma CA-agnostica come Sectigo dovrebbe facilitare la gestione dei requisiti multi-vendor.
Sectigo, CA affidabile e con un'ottima reputazione, è una risorsa eccellente per l'acquisizione di certificati SSL/TLS. Durante la transizione, non esitate a consultare gli altri certificati digitali e le altre soluzioni di sicurezza offerte da Sectigo.
Fase 3: pianificare la transizione
Avete trovato la CA perfetta per gestire i vostri certificati digitali in futuro: ora è il momento di pianificare una transizione senza intoppi. Resistete all'impulso di rimuovere la vecchia CA prima di emettere certificati con la nuova CA. Certo, potreste essere ansiosi di abbracciare la CA che avete scelto, ma ricordate: è possibile ottenere certificati da più fornitori per un singolo dominio.
Una buona notizia: i certificati attuali dovrebbero rimanere operativi finché non vengono disinstallati. Man mano che si procede con il periodo di transizione, è possibile richiedere nuovi certificati alla CA prescelta, che copriranno gli stessi server e domini. Da lì, potete sostituire i certificati precedenti sulla vostra tempistica; alcuni preferiscono affrontarli subito dopo una transizione CA riuscita, ma questo può anche essere fatto quando questi certificati sono prossimi alla scadenza.
Indipendentemente dal modo in cui si sceglie di affrontare la transizione, i dettagli di questo processo devono essere comunicati chiaramente a tutte le parti interessate. Ciò significa condividere i piani con i team IT, la direzione e gli altri stakeholder.
Fase 4: acquisto dei nuovi certificati
A questo punto, dovreste avere familiarità non solo con il vostro precedente inventario di certificati digitali (come emerso durante il processo completato nella fase 1), ma anche con le vostre esigenze di certificati SSL/TLS per il futuro. Ora è il momento di scegliere i certificati pertinenti dalla nuova CA. Questo richiederà nuovi processi di convalida, ma idealmente la vostra nuova CA vi guiderà attraverso questi passaggi critici.
Passo 5: generare richieste di firma dei certificati (CSR)
Preparatevi a generare una nuova richiesta di firma del certificato (CSR) per ogni nuovo certificato SSL. Tutte le CSR devono contenere informazioni precise: il nome legale dell'organizzazione, il nome di dominio completamente qualificato (FQDN), la divisione che gestisce il certificato e la vostra località. La creazione del CSR comporta la generazione di una nuova chiave pubblica, metà della coppia di chiavi del certificato. Questo è il fondamento della fiducia digitale e un componente critico dell'infrastruttura a chiave pubblica (PKI).
Passo 6: installare i nuovi certificati
Esistono molti modi per installare i certificati digitali. Anche in questo caso, la CA può guidarvi in questo processo, anche se molto dipende dal tipo di server o di applicazione utilizzata. Questo processo può comportare il caricamento di file di certificati, la modifica di file di configurazione o l'importazione e il binding di certificati. Non dimenticate di verificare le installazioni, controllando che tutti i certificati digitali siano stati applicati correttamente.
Fase 7: monitorare e gestire
Non date per scontato che i vostri certificati digitali continueranno sempre a fornire la solida sicurezza che desiderate. Il monitoraggio e la gestione attiva sono fondamentali. È necessario effettuare verifiche regolari e controlli di conformità.
Oltre a questo, è essenziale rimanere informati; seguite le fonti di notizie affidabili per determinare se sono in programma grandi cambiamenti nel panorama generale della crittografia e dell'autenticazione della cybersecurity.
Considerare la possibilità di automatizzare la gestione del ciclo di vita dei certificati
Il passaggio a periodi di validità di 90 giorni potrebbe essere dietro l'angolo e non è mai troppo presto per prepararsi con un approccio automatizzato ai rinnovi dei certificati e alla gestione del ciclo di vita dei certificati. Un CLM automatizzato può limitare gli oneri amministrativi, garantendo al contempo maggiore efficienza e accuratezza in tutti gli aspetti del ciclo di vita dei certificati. Senza soluzioni automatizzate, la scadenza dei certificati diventa molto più rischiosa.
Sectigo rende semplice il passaggio a una nuova CA
Affidarsi ai certificati Entrust potrebbe non essere più fattibile, ma fortunatamente sono disponibili altre opzioni. Questo potrebbe essere un ottimo momento per passare a un'alternativa affidabile come Sectigo, adottando al contempo soluzioni valide come la gestione automatizzata del ciclo di vita dei certificati. Preparatevi a trovare una soluzione prima che Google imponga la scadenza del 12 novembre per non fidarsi dei certificati Entrust.
Sectigo Certificate Manager (SCM), una soluzione per il ciclo di vita dei certificati indipendente dalle CA, potrebbe colmare il divario automatizzando tutti i processi essenziali dei certificati: scoperta, inventario, monitoraggio, sostituzione, revoca e rinnovo. La nostra soluzione end-to-end dovrebbe garantire una maggiore tranquillità durante questa importante transizione. Prenotate oggi stesso una demo per scoprire SCM in azione.