Многие компании не готовы к автоматизации PKI
На рынке инфраструктуры открытых ключей (PKI) в ближайшее время могут произойти значительные изменения. Самое главное из них — предложение Google по сокращению срока службы сертификатов SSL/TLS. Максимально допустимым сроком сертификата станет 90 дней. Это потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов, чего и добивается Google.
Но проблема в том, что многие компании не готовы к такой автоматизации. Компания GMO GlobalSign провела исследование, чтобы выяснить основные причины этой неготовности.
GMO GlobalSign опросила 1000 организаций, какие трудности вызовет у компаний решение Google сократить максимальный срок до 90 дней. На вопрос ответили около 110 компаний.
Вот результаты:
- 30% респондентов отметили, что наибольшую озабоченность вызывает увеличение объёма административной работы и сложности (30%). Также респондентов беспокоит возможность более частого обновления корневых сертификатов, как, например, ожидаемые обновления Mozilla, запланированные на 2024 год;
- 20% считают, что семилетняя ротация корневых сертификатов вполне преодолима и не вызовет значительных последствий;
- 15% беспокоятся о накладных расходах. Это особенно беспокоит малые предприятия и веб-сайты, которые считают каждую копейку;
- Ещё 30% выразили обеспокоенность по поводу работоспособности старых систем, частого истечения срока действия сертификатов, а также проблем безопасности и соответствия нормативным требованиям.
Другим вопросом стало, какие вообще сложности в автоматизации они видят. Их пять, перечисляя по убыванию:
- 38% считают, что наибольшим препятствием являются технические ограничения и совместимость. К ним относятся отсутствие готовых решений для автоматизации PKI, отсутствие поддержки автоматического обновления в определённых системах или средах (например, Windows, IIS, Plesk), а также несовместимость некоторых систем со стандартными автоматизированными решениями.
- 25% указали на дополнительные затраты, связанные с разработкой собственной системы автоматизации, а также ресурсы, необходимые для управления и поддержки решений для автоматизированного управления сертификатами.
- 20% участников опроса называют недостаток знаний и опыта ещё одной потенциальной проблемой для автоматизации сертификатов. Сюда относится незнание того, поддерживают ли системы введение новых сертификатов и перезапуск сервисов, или незнание автоматизации в целом.
- 10% ссылаются на проблемы безопасности, в частности, на управление и контроль полностью автоматизированной системы, а также на необходимость аудиторских записей, утверждения безопасности и надзора для бесплатных публичных УЦ.
- 7% выразили беспокойство по поводу ограничений инфраструктуры. Сюда относятся серверы за файрволами со строгими политиками, оборудование, не предоставляющее API или других возможностей для управления сертификатом, а также сети, не имеющие доступа в интернет.
В любом случае, чем больше таких трудностей у компаний — тем больше работы у технических специалистов, сисадминов и девопсов.
«Очевидно, что с автоматизацией сертификатов множество проблем, независимо от размера компании. Необходимо преодолеть множество этапов, прежде чем все внедрят полную автоматизацию, — сказал Дуг Битти, вице-президент по управлению продуктами GMO GlobalSign. В нашей отрасли пока нет ясности, когда обязательная 90-дневная автоматизация может стать реальностью, но, судя по результатам нашего опроса, организациям, испытывающим опасения, следует начать предпринимать шаги уже сейчас. В долгосрочной перспективе это сослужит им хорошую службу».
Мы уже писали, что короткие времена жизни сертификатов имеют два главных преимущества с точки зрения информационной безопасности:
- Ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов, так как они используются на меньшем промежутке времени.
- Поощрение автоматизации.
Только полная автоматизация и прозрачность действий с сертификатами позволит избавиться от нынешних проблем с безопасностью (они часто объясняются человеческим фактором) и надёжно зашифровать 100% публичного трафика. А это главная цель, к которой стремится IT-сообщество.