Ha ma már fárasztónak tűnik nyomon követni, hogy mikor járnak le az SSL/TLS-tanúsítványok, ami 2029-ből jön, az egy másik szint: A maximális élettartam értékre csökken csak 47 nap. Ez nem pletyka vagy őrült ötlet egy konkrét cégtől, hanem egy határozatban jóváhagyott döntés CA/Böngésző fóruma „klub”, ahol a fő tanúsító hatóságok és a nagy böngészők ülnek.
A hivatalos elképzelés a biztonság megerősítése, de a változás sok vállalatot kénytelen felülvizsgálni a tanúsítványok kezelésében.
Honnan ered a változás és mi a cél?
Itt nem új törvényről vagy kormányzati előírásról beszélünk. A lépés a CA/Browser Forumtól származik, amely csoportban a nagy AC-k (DigiCert, GlobalSign, Sectigo stb.) Chrome, Firefox, Safari vagy Edge csapatokkal együtt.
Az Apple volt az, aki elindította a labdát azzal, hogy a tanúsítványok érvényességének drasztikus lerövidítését javasolta. Aztán a szektor többi hangja is csatlakozott a szavazásig, közvetlen ellenkezés nélkül.
Papíron a célok meglehetősen ésszerűek:
- Csökkentse azt az időt, amely alatt a tanúsítványadatok elavulhatnak.
- Minimalizálja azt az ablakot, amelyben a feltört tanúsítvány érvényes marad.
- Tolja az ipart az automatizálás felé, és csökkentse a „tanúsítványunk lejárt, és senki sem vette észre” tipikus hibákat.
Az elmélet megfelel: rövidebb tanúsítványok, kevesebb kitettség. Egy másik dolog az, hogy ez hogyan jut el a több száz különböző szolgáltatással és csapattal rendelkező szervezetekhez.
Az új naptár: a hosszú évtől a másfél hónapig
Eddig a nyilvános szervertanúsítványok korlátja 398 nap körül volt. Nem örök fiatalság, de némi mozgásteret ad a felújítások nyugodt megtervezéséhez.
A megállapodás jóváhagyásával átmeneti időszak lép életbe, több fontos dátummal:
- 2026. március 15 – A tanúsítvány maximális élettartama: 200 nap – Domain Control Verification (DCV) érvényessége: 200 nap.
- 2027. március 15 – Maximális élettartam: 100 nap – DCV: 100 nap.
- 2029. március 15 – Maximális élettartam: 47 nap – DCV: 10 nap.
Gyakorlatban, Ez azt jelenti, hogy kicsit több mint egy évről kicsit több mint másfél hónapra váltunk. Ráadásul a jelenlegi modellből nézve nevetséges gyakorisággal meg kell újítani annak bizonyítékát, hogy valóban Ön irányítja a tartományt.
Nagyobb biztonság, igen; nagyobb üzemi nyomást is
A tanúsítványokat már automatizáló szolgáltató által üzemeltetett kis webhelyen a felhasználó szinte észre sem veszi. De a film megváltozik, ha erről beszélünk:
- Számos domainnel és aldomainnel rendelkező vállalatok terjesztve az interneten.
- Hibrid környezetek amelyekben vannak tanúsítványok webszervereken, kiegyensúlyozókon, tűzfalakon, levelezőkészülékeken, belső API-kon, fizetési átjárókon stb.
Ma már látunk lejárt tanúsítványokat állami szervezetek, bankok vagy nagyvállalatok oldalain. A 47 napos érvényesség mellett a kézi megújítások, az értesítő e-mailek és a táblázatok továbbra is a tűzzel játszanak.
Az automatizálás már nem kötelező
A változás mögött meghúzódó üzenet teljesen egyértelmű: A „valaki felírja a dátumot a naptárba, és elfoglalt lesz” modell halott.
A mulandó bizonyítványok világában való túléléshez szüksége van:
- Használjon automatizálási protokollokat, például az ACME-tamelyet a Let’s Encrypt népszerűsített, és már számos kereskedelmi hitelesítésszolgáltató is támogat.
- Használja ki a felhőszolgáltatás előnyeit amelyek integrálják az általuk tárolt erőforrások kiadását és automatikus megújítását.
- Központosított tanúsítványkezelési platformok alkalmazásafedezze fel az elveszett eszközöket, kövesse nyomon a lejáratokat és szervezze meg a megújításokat anélkül, hogy szerverről szerverre kézi úton haladna.
Mihez kezdjen most?
Bár a nagy vágás időpontja 2029, az első snipp 2026-ban érkezik. Három év hosszú időnek tűnik, de egy nagy szervezet számára holnap reggel. Érdemes nagyon konkrét lépésekkel előkészíteni a talajt:
Vegyünk valódi leltárt
Tudja, hány tanúsítvány van, ki állítja ki, hová telepítették és mikor járnak le. Amit nem látsz, azt nem tudod automatizálni.
Csökkentse a beszállítói diszperziót
Minél kevesebb a különböző kibocsátó, annál kevesebb variációt kell kezelni, és annál kevesebb meglepetés éri a megújítási folyamatokat.
Kezdje el kipróbálni az ACME-t és hasonlókat
Nem kell mindent egyszerre migrálni, de érdemes kevésbé kritikus szolgáltatásokkal kezdeni, hogy a teljes kiadási és megújítási ciklus folyamatos kézi beavatkozás nélkül működjön.
Tekintse át a belső változási folyamatokat
Ha minden tanúsítványon át kell menni egy havonta egyszer ülésező változó bizottságon, akkor a jelenlegi modell ilyen rövid futamidővel nem fenntartható. Agilisabb és egyben jól dokumentált eljárásokra lesz szükség.
Állítsa feltételekhez a megfigyelést
Automatikus riasztások, központosított panelek és értesítések, teret adva a reakcióknak. A hetek ablakainál nem érdemes rábízni senkire, hogy emlékezzen.
Szükséges kényelmetlenség… és lehetőség
Biztonsági szempontból a lépésnek van értelme: Ha valami eltörik vagy veszélybe kerül, jobb, ha a tanúsítvány élettartama rövid. A mindennapi üzletmenet szempontjából ez további fejfájást jelent, amely arra kényszeríti Önt, hogy időt, pénzt és erőfeszítést fektessen eszközökbe és folyamatokba.
Az a jó benne, hogy ürügyül szolgálhat arra, hogy rendet rakjunk egy olyan területen, amelyet sok szervezet menet közben improvizál. Aki kihasználja ezt a változást a tisztításra, egységesítésre és automatizálásra, az erősebb lesz. Bárki, aki továbbra is a kézi feladatokra és az e-mailes értesítésekre hagyatkozik, gyorsan rájön, hogy a 47 nap a termelésben egy pillanat alatt eltelik.
