Hoe voorkomt u certificaat gerelateerde storingen?
Eind 2018 crashte het mobiele netwerk van O2, waardoor zo’n 32 miljoen gebruikers tijdelijk geen 4G meer konden gebruiken. Simpelweg omdat een ongeïdentificeerd SSL/TLS-certificaat in het netwerk was verlopen. Deze storing heeft zo’n 90 miljoen euro aan schade veroorzaakt en de CEO van Ericsson ertoe aangezet publiekelijk zijn excuses aan te bieden. Uit een onderzoek van Venafi blijkt dat 60% van 550 ondervraagde CIO’s in de twaalf maanden ervoor een certificaat gerelateerde storing heeft meegemaakt, die kritische systemen of services heeft verstoord. Over 24 maanden gemeten zelfs 74%. Ondanks de regelmaat waarmee dit soort storingen zich voordoen en de potentiële impact ervan, hebben security managers nog steeds onvoldoende kennis over waarom en hoe certificaat gerelateerde storingen ontstaan en hoe deze te voorkomen zijn.
Om te begrijpen waarom certificaat gerelateerde storingen ontstaan en hoe ze te voorkomen zijn, is het nodig te weten waarom certificaten überhaupt worden gebruikt. Transport Layer Security (TLS) certificaten - of zoals ze voorheen werden genoemd Secure Socket Layer (SSL) - geven ‘machines’ een unieke digitale identiteit. Zo’n machine kan een server of werkplek zijn, maar ook een IoT-apparaat of software. Digitale identiteiten stellen machines in staat om via ‘vertrouwde’ versleutelde verbindingen met elkaar te communiceren. Certificaten valideren daarbij vooraf de identiteiten van beide kanten en zijn dus de poortwachters voor het authenticeren van beveiligde communicatie. SSL/TLS-certificaten verifiëren zowel de interacties tussen verschillende softwareprogramma’s en machines of apparatuur, als digitale handtekeningen.
Certificaten worden altijd uitgegeven met een geldigheidsduur, dus een limiet voor hoe lang ze te vertrouwen zijn. Deze kan variëren van enkele weken tot tien jaar, terwijl twee jaar een gangbare periode is. Na die tijd wordt zo’n certificaat ongeldig, tenzij deze is verlengd of vervangen. Wie dit nalaat, krijgt te maken met een storing als gevolg van niet meer functionerende communicatie. Om dat te voorkomen,
is het belangrijk te weten welke certificaten waar zijn geïnstalleerd en wanneer ze verlopen. In de praktijk hebben veel organisaties nog onvoldoende inzicht en geen effectieve oplossing om die informatie te managen en op basis daarvan proactief te handelen. Daardoor worstelen ze onnodig met het vervangen van steeds meer certificaten en krijgen zelfs gerenommeerde organisaties te maken met onverwachte technische storingen.
Heeft u voldoende inzicht?
Organisaties hebben niet alleen onvoldoende inzicht in welke certificaten en dus machine-identiteiten waar zijn geïnstalleerd en wanneer ze verlopen, maar ook in wie ervoor verantwoordelijk is. In de huidige complexe digitale wereld zijn er namelijk al snel vele honderden en vaak duizenden certificaten om te managen, die door verschillende businessafdelingen en projectteams dagelijks worden gecreëerd en ingezet. Als de medewerkers die hiervoor verantwoordelijk zijn de organisatie verlaten of van functie veranderen, kan de aanwezige informatie over gebruikte certificaten verloren gaan. Maar het belangrijkste is de onduidelijkheid over wie er verantwoordelijk is voor het tijdig vervangen van verlopende certificaten. Anders verwoordt, is het inzicht en de grip op het certificaatmanagement bij veel organisaties nog te verbeteren.
De noodzaak en complexiteit om alle gebruikte certificaten te managen neemt de komende jaren alleen maar toe. 80% van de ondervraagde CIO’s verwacht dat het gebruik van digitale certificaten de komende vijf jaar met zo’n 25% groeit, terwijl ruim de helft een groei van meer dan 50% voorziet. Zonder gecentraliseerd inzicht, management en verantwoordelijkheid worden IT-afdelingen volledig verrast als er een certificaat gerelateerde storing optreedt. Dan wordt het net als bij O2 een race tegen de klok om de locatie van het certificaat te vinden en deze alsnog zo snel mogelijk te vervangen. Op zo’n moment kost elke minuut veel geld en leidt het waarschijnlijk ook tot ongewenste imagoschade, omzetverlies en een deuk in het vertrouwen van de klanten.
Wat kunt u doen?
Een logisch maar tegelijkertijd ook het belangrijkste advies is alle certificaten proactief te gaan managen tijdens de volledige geldigheidsperiode, in plaats van een mogelijke storing af te wachten. Als uw klanten geconfronteerd worden met niet bereikbare services, bent u altijd te laat. Wanneer er ondanks de maatregelen nog een certificaat gerelateerde storing optreedt - misschien door een ongeïdentificeerd certificaat van derden -, kunt u bij een goed inzicht sneller handelen en de schade beperken. Wie niet proactief handelt kan erop rekenen dat er vroeg of laat een certificaat verloopt, met mogelijk verstrekkende gevolgen.
Het proactief inventariseren en identificeren van alle digitale certificaten met informatie over waar ze worden gebruikt, wie ervoor verantwoordelijk is en wanneer ze verlopen, is de belangrijkste preventiemaatregel. Gezien het nu al grote en nog toenemende aantal certificaten is het tevens verstandig om voor het centraal managen geen spreadsheets of andere basistools te gebruiken. Behalve inzicht hebben IT- en security-teams namelijk ook behoefte aan business intelligence en automatiseringsfuncties om alle machine identiteiten binnen de organisatie op een effectieve en efficiënte wijze te kunnen blijven managen.
Een centraal managementplatform met automatiseringsfuncties helpt organisaties de continuïteit van hun business en beschikbaarheid van steeds meer digitale services te waarborgen. Zo’n oplossing verlost hen van veel zorgen en benodigde tijd voor het vernieuwen en verlengen van alle gebruikte certificaten, omdat de bijbehorende beheerprocessen te stroomlijnen zijn. Gecentraliseerd inzicht en grip op het gebruik van alle certificaten is tegenwoordig van essentieel belang voor het faciliteren van goed beveiligde transacties en communicatie. Tenslotte voorkomt u daarmee het volgende bedrijf te worden dat volop in de spotlights komt te staan door een certificaat gerelateerde storing.
Martin Thorpe is enterprise architect bij Venafi