Excel — не лучший способ управления сертификатами

image-loader.svg

Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная автоматизация. Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.


Инфраструктура открытых ключей (PKI) — критически важный элемент в системе безопасности. Она обеспечивает безопасность цифровых транзакций, верифицирует домены, файлы программ и многое другое. Большинство компаний используют цифровые сертификаты и цифровые подписи. Но их методы и практики далеки от совершенства.

Cогласно опросу, наибольшую боль для IТ-специалистов представляет управление сроком действия сертификатов. До сих пор многие не внедрили у себя нормальную систему автоматической замены или продления сертификатов, хотя все инструменты для этого существуют давно. Проблема особенно актуальна в свете уменьшения максимального срока действия до 13 месяцев и других грядущих изменений в правилах работы с сертификатами в 2021−2022 годы.

Кроме продления, респонденты называют следующие проблемы:

  • управление несколькими типами сертификатов (45%);
  • управление большим количеством сертификатов (41%);
  • соответствие регуляторным нормам (38%);
  • развёртывание/установка новых сертификатов (37%).


Один из самых неожиданных выводов:

36% IТ-специалистов полагаются на электронные таблицы Excel для управления сертификатами


Это по-настоящему удивительно. Excel точно не лучший инструмент.

Сегодня стандартным протоколом для управления сертификатами считается ACME (Automatic Certificate Management Environment), и все современные решения PKI поддерживают этот открытый стандарт. Например, есть certbot — опенсорсная образцовая реализация серверного ПО для управления сертификатами с поддержкой ACME и boulder — опенсорсная реализация удостоверяющего центра на Go.

xsi5-71_scgyh6aszkpttsbiudi.jpeg
Auto Enrollment Gateway: автоматизация и управление PKI для крупных предприятий с поддержкой ACME

Вопрос управления сертификатами — особенно с истекающим сроком действия — по-прежнему является серьёзной проблемой для всех предприятий. Такие случаи могут привести к дорогостоящим перебоям в обслуживании. За последние несколько месяцев зафиксированы случаи истечения срока действия сертификатов в игровой индустрии, у крупного VPN-провайдера, в крупной компании по обслуживанию кредитных карт и др. В прошлом году даже у Хабра внезапно «протух» один из сертификатов в цепочке доверия.

image-loader.svg
Цепочка доверия с «протухшим» корневым сертификатом Sectigo

30 мая 2020 года проблема с устаревшей цепочкой доверия затронула свободные библиотеки OpenSSL 1.0.x и GnuTLS. Начались сбои у сотен крупных веб-сервисов. Так что от сбоев не застрахован никто, даже самые продвинутые специалисты.

6612d706943053365dba085720dd904c
Падение трафика на Хабре после выхода из строя вышеупомянутой цепочки доверия, источник

Только 39% респондентов относят прекращение действия сертификатов и перебои в работе к числу главных проблем, связанных с неправильным использованием PKI. Хотя, судя по частоте, с которой происходят сбои в работе сертификатов, опасения IT-специалистов должны быть гораздо серьёзнее.

Исследование также выявило некоторое несоответствие между ожиданием и реальностью. Почти 75% ИТ-специалистов ответили, что у них есть инструменты для автоматизации управления сертификатами, но только 6% довольны тем, как они работают. Остальные хотели бы внести изменения, например, тратить меньше времени на управление. Основные пожелания:

  • упростить отслеживание сертификатов (39%);
  • автоматизировать выдачу/регистрацию сертификатов (38%);
  • организовать централизованную систему управления (36%);
  • тратить меньше времени на управление;
  • упростить задачи, связанные с сертификатами.


Ещё одно заблуждение касается цифровых и электронных подписей. Согласно опросу, 75% якобы понимают разницу, однако подробные их ответы свидетельствуют об обратном. На самом деле «цифровая подпись» означает процесс криптографической верификации документа с цифровым сертификатом и меткой времени, а под электронной подписью часто подразумевают просто скан автографа от руки, копию мокрой подписи.
Как обычно, у каждой проблемы несколько вариантов решения. Это относится и к автоматизации PKI. Одни нанимают специалистов и внедряют полнофункциональные решения, а другие обращаются за помощью к провайдеру услуг.

Опрос проведён компанией Opinium в марте 2021 года, в нём приняли участие более 300 IT-профессионалов из США и Великобритании. Полная версия отчёта опубликована здесь.


t_mjdil1-hcik5q18eg_sgm8uua.jpeg
GlobalSign предлагает PKI-решения для малого и среднего бизнеса
Свяжитесь с нами: +7 (499) 678 2210, sales-ru@globalsign.com.

© Habrahabr.ru