Verbeter het certificaatbeheer door automatisering van het gehele proces

Nagenoeg elke organisatie is voor haar dagelijkse bedrijfsvoering afhankelijk van digitale communicatie. Om veilige communicatie te waarborgen, gebruiken organisaties digitale certificaten. Dit zijn computerbestanden die fungeren als een digitaal paspoort voor de eigenaar van dat bestand.

  Alex Heijdenrijk

  Mark Zandstra

Alex Heijdenrijk & Mark Zandstra, Senior Security Consultants bij Traxion

Certificaten worden op verschillende manieren gebruikt. In de eerste plaats zorgen ze ervoor dat een persoon of een apparaat zich bij een systeem of applicatie kan identificeren en authentiseren als degene die hij zegt dat hij is. Ook spelen ze een hoofdrol bij het versleutelen (encryptie) van data tijdens transport of bij opslag. Verder kunnen certificaten bijvoorbeeld gebruikt worden voor het plaatsen van een digitale handtekening onder een e-mail, zodat deze niet meer ongemerkt te wijzigen is en onweerlegbaar vaststaat wie het heeft verzonden.

Om dit te kunnen doen bestaat een certificaat uit verschillende elementen:

  • een identiteit (‘wie ben ik’);
  • een openbare sleutel (hiermee wordt de communicatie beveiligd);
  • een waarmerk afgegeven door een vertrouwde instantie (een CA: certificaatautoriteit).

De onderliggende kracht van een certificaat zit in het gebruik van sleutelparen. Naast een openbare sleutel, die publiekelijk gedeeld kan worden, bezit de eigenaar van het certificaat een privésleutel. Met de privésleutel kan communicatie, die versleuteld is met de openbare sleutel, weer ontsleuteld worden (en vice versa). Om misbruik van het certificaat te voorkomen moet de privésleutel daarom zo veilig mogelijk worden bewaard. Middels een Public Key Infrastructure (PKI) worden certificaten beheerd en privésleutels veilig opgeslagen.

Duidelijk is dat deze technologie steeds belangrijker wordt nu ieder bedrijf data-afhankelijk is en veiligheid en beschikbaarheid van systemen cruciaal zijn voor de bedrijfsprocessen.

Grenzen

Door de toenemende populariteit van de cloud en IoT-toepassingen neemt de hoeveelheid en verspreiding van digitale certificaten alsmaar toe. Hierdoor wordt het beheer van certificaten steeds complexer en is lastiger te bepalen op welke locaties certificaten worden gebruikt. Daar komt bij dat de levenscyclus van certificaten steeds korter wordt. Zo worden er bijvoorbeeld geen servercertificaten meer uitgegeven met een levensduur van drie jaar, maar is een duur van één jaar gebruikelijk geworden.

De praktijk laat zien dat veel organisaties tegen de grenzen van hun mogelijkheden aanlopen bij het beheren van certificaten. Zij doen dat veelal nog met beperkte hulpmiddelen die daar niet voor bedoeld zijn, zoals Excel-spreadsheets. Maar het feit dat een doorsnee organisatie al snel enkele honderden tot duizenden certificaten in beheer heeft, onderstreept dat overzicht moeilijk te creëren is bij een handmatige aanpak. Die grote aantallen zijn te verklaren door een verregaande digitalisering (de ‘Digital Transformation’), waardoor de wereld steeds meer verbonden is.

Downtime

Regelmatig treffen we op het internet websites aan met een verlopen certificaat. Waar we vroeger foutmeldingen met certificaten konden negeren, blokkeren moderne browsers nu direct de toegang tot deze websites. Voor een e-commercebedrijf met één of meerdere webshops kan de schade hierdoor in de tien- tot honderdduizenden euro’s lopen, zeker als er net een campagne loopt.

Daarnaast zijn organisaties tegenwoordig in een waardeketen met elkaar verbonden via beveiligde koppelingen (denk aan API’s of webservices). Wanneer een certificaat voor dit type verbindingen verloopt, wordt dit minder snel opgemerkt of is de oorzaak lastiger op te sporen. Het gevolg is dat bijvoorbeeld elektronische bestellingen niet kunnen worden geplaatst bij toeleveranciers, of orders niet binnenkomen. Bij banken en andere financiële instellingen kan dit betekenen dat bijvoorbeeld het betalingsverkeer verstoord wordt of zelfs niet meer kan plaatsvinden.

Automatiseren van beheer

Om deze risico’s te vermijden, is een andere aanpak van certificaatbeheer nodig. Het uitgangspunt hierbij is verregaande automatisering van de gehele levenscyclus van een digitaal certificaat met de daarbij behorende PKI-sleutels.

Een dergelijke aanpak begint bij het verkennen van het gehele netwerk en alle daaraan gekoppelde systemen. Dat geldt zowel voor on-premise (datacenter) als voor cloudsystemen (SaaS/PaaS/IaaS). Tijdens deze verkenning wordt achterhaald op welke locaties certificaten (en sleutels) gebruikt worden en wat de status van deze certificaten is.

Op deze manier is de actuele situatie in kaart te brengen en is inzicht te creëren in de volgende aspecten:

 

  • Certificaat-identiteit
    Een digitaal certificaat kan uniek geïdentificeerd worden via de naam en het serienummer. In de naam staat doorgaans ook door welke organisatie of afdeling het certificaat is aangevraagd. Hiermee kan de ‘eigenaar’ van het certificaat gevonden worden.
  • Locatie
    Een digitaal certificaat kan op meerdere locaties zijn opgeslagen en worden gebruikt op verschillende systemen. Het is van groot belang om inzicht te hebben waar certificaten en sleutels zich bevinden, zodat deze certificaten en sleutels consistent vervangen kunnen worden volgens de juiste procedures in alle ‘keystores’ (Windows certificate store, Java keystore, Hardware Security Module, et cetera) van de organisatie.
  • Typen certificaten
    Er zijn veel verschillende soorten certificaten in omloop met hun eigen toepassing. Zo worden S/MIME-certificaten bijvoorbeeld gebruikt voor versleuteling en ondertekening van e-mailberichten. Het sleutelgebruik (key usage) bepaalt voor welke doeleinden het certificaat gebruikt kan worden. Het meest gebruikte bestandsformaat voor certificaten is X.509.
  • Uitgevende partij
    Een Certificate Authority (CA) is de uitgever (issuer) van een certificaat. Dat kan een organisatie zelf doen met haar eigen PKI-server, maar voor publiek gebruik van het certificaat is een vertrouwde publieke uitgever nodig. Voorbeelden zijn DigiCert en Verisign. Wanneer de certificaten van een publieke CA niet meer vertrouwd worden, heeft dit direct impact op alle toepassingen voor deze certificaten binnen de organisatie en zullen deze zo snel mogelijk vervangen moeten worden door certificaten van een andere publieke CA.
  • Sleutellengtes en cryptografische algoritmes
    Sleutellengtes, hash- en encryptie-algoritmes bepalen het niveau van beveiliging van de data. De voortschrijdende stand der techniek zorgt ervoor dat steeds langere sleutels en complexere algoritmen noodzakelijk zijn om het gewenste beveiligingsniveau te behouden. Hiermee wordt voorkomen dat aanvallers de privé-sleutel van onveilige certificaten kunnen achterhalen, waardoor zij versleutelde verbindingen kunnen afluisteren (de vertrouwelijkheid vervalt) of certificaten kunnen vervangen (de integriteit wordt aangetast).
  • Levensduur
    Certificaten hebben een bepaalde geldigheid die de afgelopen jaren steeds korter is geworden. Een vervallen certificaat is ongeldig en kan niet meer worden gebruikt.
  • Intrekkingsinformatie
    Certificaten kunnen ook ingetrokken worden, bijvoorbeeld als er het vermoeden is dat de bijbehorende privésleutel (private key) gecompromitteerd is. In het certificaat wordt doorgaans vermeld waar na te gaan is of het certificaat is ingetrokken (revoked), via zogenaamde CRLDP of OCSP URL’s.

Workflows

Zodra deze aspecten helder zijn, kunnen op basis hiervan workflows gecreëerd worden. Deze workflows sturen indien nodig meldingen naar beheerders dat een certificaat verloopt. Ook kunnen ze certificaten (na goedkeuring van een beheerder) geautomatiseerd vervangen, het sleutelbeheer verzorgen (dat zich richt op het beheren van alle publieke en private sleutels van elk certificaat) en nieuwe certificaten met bijbehorende privésleutel distribueren en implementeren op de betreffende systemen.

Voordelen

Door over te stappen op een geautomatiseerde aanpak van certificaatbeheer, behaalt een organisatie verschillende concrete voordelen:

  • de (potentiële) downtime door verlopen certificaten vermindert significant;
  • de kosten voor certificaatbeheer lopen sterk terug, doordat veel minder handmatig werk nodig is;
  • de risico’s op datalekken nemen af, doordat het certificaatbeheer op orde is;
  • de organisatie heeft overzicht in het gebruik van digitale certificaten;
  • de organisatie is aantoonbaar compliant met bestaande en nieuwe wet- en regelgeving (eIDAS, GDPR/AVG, Wbni, Wbb).

Certificaatbeheer is te belangrijk om te verwaarlozen. Met een solide aanpak op basis van vergaande automatisering, monitoring en workflows is te voorzien in effectief en kostenefficiënt beheer en hoeven IT-managers niet meer wakker te liggen van het altijd maar toenemende aantal certificaten binnen hun organisatie.

Traxion is de onafhankelijke specialist en marktleider binnen de Benelux op het gebied van Identity & Access Management en helpt organisaties onder meer met het volledig ontzorgen van het certificaat- en sleutelbeheer als onderdeel van het information security portfolio.