La tempesta perfetta della PKI: come prendere tre piccioni con una fava (spoiler: la fava è l'automazione)
I certificati di 47 giorni, la crittografia post-quantistica (PQC) e le scadenze del TLS reciproco (mTLS) si scontrano. L'automazione è l'unica pietra che li risolve tutti.
Tutti conosciamo l'espressione "prendere due piccioni con una fava", ovvero l'opportunità di svolgere due compiti al posto di uno. Nel frenetico mondo dell'IT, trovare due piccioni con una fava è un'usanza comune.
Come discusso in un recente episodio del Root Causes Podcast, nel mondo dell'IT e, più specificamente, nel panorama delle infrastrutture a chiave pubblica (PKI), sono in corso importanti cambiamenti in rapida evoluzione. Questa evoluzione sta ponendo le organizzazioni di fronte non a due, ma a tre grossi problemi concomitanti, o meglio, a tre crisi.
La buona notizia? La soluzione a tutte è la stessa pietra. Non si tratta solo di gestire i certificati, ma di ottenere una gestione del ciclo di vita dei certificati (CLM) unificata e trasversale alle organizzazioni, grazie a una vera automazione.
Ecco le tre sfide della PKI: i "tre uccelli" che stanno per colpire contemporaneamente la vostra azienda e come un unico progetto coordinato può affrontarli tutti.
Uccello 1: la marcia verso i 47 giorni
Il settore si sta muovendo rapidamente verso una riduzione della durata dei certificati. Questa marcia verso i certificati di 47 giorni sta costringendo le organizzazioni ad adottare una cadenza mensile di rinnovo dei certificati prima della scadenza del marzo 2029. Ciò significa un numero di rinnovi 12 volte superiore e un rischio 12 volte maggiore di interruzioni e tempi di inattività.
Per le organizzazioni che si affidano a fogli di calcolo manuali, ticketing interno e processi ad hoc, questo cambiamento non è un inconveniente, ma un evento di estinzione. Secondo Tim Callan in questo episodio del podcast Root Causes, "i vecchi metodi diventeranno sempre meno sostenibili e alla fine si romperanno del tutto". Se il vostro team fatica a rinnovare un certificato ogni anno, immaginate di farlo ogni 47 giorni.
Il primo passo per la sopravvivenza: dovete sapere esattamente cosa avete in produzione, dove si trova e chi ne è responsabile. Questo inizia con la scoperta.
Uccello 2: Il mandato di sicurezza della crittografia post-quantistica (PQC) è pronto
La corsa alla sicurezza dei sistemi contro i futuri attacchi quantistici è in corso. Per gli architetti della sicurezza, prepararsi alla PQC è un'impresa enorme, ma la fase iniziale è identica alla preparazione per il mandato dei 47 giorni.
Qual è il primo passo per prepararsi alla crittografia post-quantistica? Inventario.
È necessario individuare tutte le risorse crittografiche, comprenderne i casi d'uso e determinarne la priorità di migrazione. La PQC non riguarda solo i certificati server TLS, ma questi costituiscono la "parte del leone" del carico di lavoro immediato. Questo mandato assicura già una massiccia sovrapposizione con la sfida operativa della riduzione dei tempi di vita.
Uccello 3: la scadenza di deprezzamento della fine del TLS reciproco (mTLS)
Questo è l'uccello più recente e forse il più trascurato. L'industria ha annunciato la definitiva deprecazione dei certificati di autenticazione client utilizzati per Mutual TLS.
La scadenza è molto ravvicinata: 15 giugno 2026.
Le grandi aziende potrebbero non sapere nemmeno dove stanno attualmente utilizzando un certificato del server per l'autenticazione del client. Questo mandato obbliga a un'altra ricerca immediata e su larga scala nell'ambiente IT per identificare e sostituire questi certificati.
Anche in questo caso, il compito necessario è lo stesso: siete in grado di dire, in questo momento, il numero esatto dei vostri certificati server TLS rispetto ai certificati di autenticazione client? Per la maggior parte, la risposta è "no".
La pietra: Unificare gli sforzi disordinati con l'automazione
Storicamente, questi problemi vengono gestiti in silos. Un architetto della sicurezza riferisce al CISO sulle minacce PQC, mentre un responsabile delle operazioni riferisce al CIO sul mandato di 47 giorni. Il lavoro è incredibilmente duplicato, il che porta potenzialmente a uno spreco di risorse, a un incrocio di scopi e a valutazioni di strumenti multipli e in competizione tra loro.
La "pietra" che uccide tutti questi uccelli è la gestione unificata del ciclo di vita dei certificati (CLM) alimentata dall'automazione.
Il CLM fornisce l'arco di visibilità essenziale che si estende a tutta l'organizzazione, fornendo una visione unica e centralizzata di ogni certificato, indipendentemente dal tipo, dal fornitore o dalla sede. Trattando i tre mandati come un unico progetto coordinato, le organizzazioni possono:
- Creare un unico inventario: Eliminare le attività di ricerca ridondanti.
- Automatizzare il rinnovo: Implementare un sistema in grado di gestire i rinnovi mensili per i certificati di 47 giorni senza alcun intervento umano.
- Raggiungere l'agilità: Acquisire la capacità di identificare, migrare e sostituire rapidamente le risorse, sia a causa di PQC, deprezzamento mTLS o di un evento di revoca.
Elevare la conversazione
Affinché questo approccio unificato abbia successo, la proprietà deve essere elevata. Se si lascia questo lavoro alle "persone che sono in trincea" (gli amministratori di Linux o i direttori IT) non si riesce a vedere il quadro completo.
Questa convergenza di scadenze è un problema di rischio, non solo operativo. Richiede l'attenzione del CTO, dell'amministratore delegato o del responsabile del prodotto: una persona che abbia la possibilità di controllare sia i team di sicurezza che quelli operativi.
Se la vostra azienda non ha ancora avviato un progetto unico e coordinato incentrato sulla visibilità e sull'automazione completa dei certificati, è il momento di iniziare. Le scadenze sono reali, stanno convergendo e la pena per l'inazione è un aumento esponenziale del rischio operativo e di sicurezza.
Conclusione
Sectigo è qui per aiutare. Il nostro obiettivo nel settore è quello di educare e informare le persone su questi drastici cambiamenti del settore. In qualità di CA e fornitore di CLM affidabile, sviluppiamo risorse per aiutarvi a superare questi cambiamenti monumentali.
Il nostro Toolkit dei 47 giorni è un primo passo per avviare la discussione all'interno della vostra organizzazione sull'automazione in vista della prima scadenza del marzo 2026 a soli 200 giorni. Volete saperne di più? Contattateci oggi stesso e saremo lieti di indirizzarvi nella giusta direzione.