Zijn uw certificaten wel zo veilig als u denkt?
Door: Eric IJpelaar, Manager Operations Traxion Security Services bij Traxion
Certificaten vormen een belangrijke vertrouwenslaag in de IT-infrastructuur van een bedrijf. Zonder certificaten werken veel IT-componenten en websites niet, of wordt de inzet daarvan er op z’n minst niet veiliger van. Maar met de implementatie van certificaten alleen bent u er nog niet. Het ene certificaat is namelijk lang niet zo betrouwbaar als het andere en door gebruik te maken van de verkeerde certificaten loopt uw bedrijf een groot veiligheidsrisico. Maar hoe komt u er achter of dat bij u ook het geval is?
Voor wie niet weet wat een certificaat precies is, of waar het voor wordt gebruikt: zie een certificaat als een virtueel paspoort. Als twee verschillende IT-componenten verbinding maken met elkaar, gebruiken ze die certificaten om elkaars identiteit te controleren. Denk aan het geval van een medewerker, wiens smartphone eerst geverifieerd moet worden om toegang te krijgen tot het bedrijfsnetwerk. Of aan een internetbrowser die aan de hand van een certificaat de identiteit van een bankwebsite controleert.
Vertrouwen
Een certificaat helpt dus om het vertrouwen te creëren dat nodig is om verbindingen te maken tussen twee IT-componenten. Dit idee valt of staat echter bij de veiligheid van een certificaat. Sterker nog: verlopen certificaten, of certificaten die gebruikmaken van achterhaalde technologieën, kunnen de onveiligheid alleen maar verhogen. Bijvoorbeeld doordat u onoplettend wordt omdat u denkt dat het toch wel goed geregeld is.
data-ad-slot="6770830282">
Om erachter te komen of ook in uw organisatie onveilige certificaten worden gebruikt, is het zaak om eerst een inventarisatie te doen van alle certificaten die in uw organisatie worden ingezet. Op uw interne bedrijfsnetwerk, door uw website en door andere webapplicaties. Goed is om hierbij te realiseren dat er wellicht ook certificaten worden ingezet waar IT in eerste instantie geen zicht op heeft. Denk aan campagnewebsites die de marketingafdeling ooit zonder medeweten van IT heeft opgezet.
Als u al deze certificaten in kaart heeft gebracht, kunt u bekijken in hoeverre deze nog veilig zijn en die waar nodig vervangen. Wees daarbij vooral alert op de volgende twee soorten.
- Verlopen certificaten
Net als een fysiek legitimatiebewijs een beperkte geldigheidsduur heeft, zo hebben certificaten over het algemeen ook een beperkte houdbaarheid – variërend van een tot twee jaar. En net als bij paspoorten, worden ook verlopen certificaten vaak niet geaccepteerd door derde partijen. Dat kan er dus voor zorgen dat processen stil komen te liggen omdat er geen verbinding meer kan worden gemaakt tussen twee componenten. Of dat bijvoorbeeld een website wordt geblokkeerd door een browser.
En dat is niet de enige reden om verlopen certificaten zo snel mogelijk te vernieuwen. Het feit dat een certificaat een beperkte geldigheidsduur is namelijk om een reden. Omdat technologie zich met de dag verder ontwikkelt kan technologie die vandaag nog veilig is, over een jaar zomaar door de innovatie zijn ingehaald. En wordt het risico dat een dergelijk certificaat kan worden vervalst met de dag groter.
- Self-signing certificaten
In principe kan een certificaat door iedereen worden uitgegeven, net als dat in theorie iedereen paspoorten zou kunnen drukken. De kans is echter klein dat een douanier een zelfgedrukt paspoort zal accepteren, en bij certificaten is dat eigenlijk niet anders.
De betrouwbaarheid van een certificaat is dus nauw verbonden met de autoriteit die het uitgeeft. De meeste organisaties gebruiken daarvoor op hun eigen bedrijfsnetwerk een interne certificate authority (CA), die eigen certificaten uitgeeft. En voor verbindingen buiten de eigen organisatie is het aan te raden gebruik te maken van een certificaat dat is uitgegeven door internationaal erkende CA’s, de zogenaamde trusted third party’s.
Er bestaan echter ook zogenaamde self-signing certificaten. Daarbij komt het erop neer dat niet een CA, maar het IT-componenten zelf garant staat voor zijn identiteit. Uiteraard is dit niet de betrouwbaarste wijze van identificatie en is het aan te raden self-signing certificaten te vervangen door veiligere alternatieven.
Symptoom
Als bij een inventarisatie blijkt dat u gebruikmaakt van onveilige certificaten, is dat vaak een aanwijzing dat u te maken hebt met twee dieperliggende problemen. Allereerst zijn verlopen certificaten een symptoom van verkeerde certificaatbeheer. Als u wilt voorkomen dat u in de nabije toekomst weer tegen hetzelfde probleem aanloopt, doet u er dus verstandig aan het niet bij een eenmalige inventarisatie te laten maar ervoor te zorgen dat u een certificaatmanagementproces implementeert.
Onveilige certificaten kunnen bovendien ook het gevolg van zijn shadow IT, zoals in het eerder genoemde voorbeeld van campagnewebsites die door marketing zijn opgezet. In dat geval is het allereerst belangrijk om te achterhalen wat de oorzaak is dat een afdeling buiten IT te werk is gegaan. Als dat is vanwege onwetendheid is het zaak uw IT-beleid daarop aan te scherpen of nog eens extra onder de aandacht te brengen.
data-ad-slot="6770830282">
Constructieve aanpak
Vaak is shadow IT echter het gevolg van een bewuste keuze om IT te omzeilen, bijvoorbeeld omdat het sneller is om een website zonder tussenkomst van IT live te zetten. In dat geval is alleen het wijzen op uw IT-beleid niet de meest constructieve aanpak, maar doet u er verstandig aan om mee te denken met de wensen van de business en om een passende oplossing te bieden. In dit voorbeeld door de marketingafdeling te voorzien van tools waarmee ze zelf een website live kunnen zetten die wél voldoet aan uw veiligheidseisen.