Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная автоматизация. Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.
Недостаток автоматизации
Инфраструктура открытых ключей (PKI) — критически важный элемент в системе безопасности. Она обеспечивает безопасность цифровых транзакций, верифицирует домены, файлы программ и многое другое. Большинство компаний используют цифровые сертификаты и цифровые подписи. Но их методы и практики далеки от совершенства.
Cогласно опросу, наибольшую боль для IТ-специалистов представляет управление сроком действия сертификатов. До сих пор многие не внедрили у себя нормальную систему автоматической замены или продления сертификатов, хотя все инструменты для этого существуют давно. Проблема особенно актуальна в свете уменьшения максимального срока действия до 13 месяцев и других грядущих изменений в правилах работы с сертификатами в 2021−2022 годы.
Кроме продления, респонденты называют следующие проблемы:
- управление несколькими типами сертификатов (45%);
- управление большим количеством сертификатов (41%);
- соответствие регуляторным нормам (38%);
- развёртывание/установка новых сертификатов (37%).
Один из самых неожиданных выводов:
36% IТ-специалистов полагаются на электронные таблицы Excel для управления сертификатами
Это по-настоящему удивительно. Excel точно не лучший инструмент.
Сегодня стандартным протоколом для управления сертификатами считается ACME (Automatic Certificate Management Environment), и все современные решения PKI поддерживают этот открытый стандарт. Например, есть certbot — опенсорсная образцовая реализация серверного ПО для управления сертификатами с поддержкой ACME и boulder — опенсорсная реализация удостоверяющего центра на Go.
Auto Enrollment Gateway: автоматизация и управление PKI для крупных предприятий с поддержкой ACME
Вопрос управления сертификатами — особенно с истекающим сроком действия — по-прежнему является серьёзной проблемой для всех предприятий. Такие случаи могут привести к дорогостоящим перебоям в обслуживании. За последние несколько месяцев зафиксированы случаи истечения срока действия сертификатов в игровой индустрии, у крупного VPN-провайдера, в крупной компании по обслуживанию кредитных карт и др. В прошлом году даже у Хабра внезапно «протух» один из сертификатов в цепочке доверия.
Цепочка доверия с «протухшим» корневым сертификатом Sectigo
30 мая 2020 года проблема с устаревшей цепочкой доверия затронула свободные библиотеки OpenSSL 1.0.x и GnuTLS. Начались сбои у сотен крупных веб-сервисов. Так что от сбоев не застрахован никто, даже самые продвинутые специалисты.
Падение трафика на Хабре после выхода из строя вышеупомянутой цепочки доверия, источник
Только 39% респондентов относят прекращение действия сертификатов и перебои в работе к числу главных проблем, связанных с неправильным использованием PKI. Хотя, судя по частоте, с которой происходят сбои в работе сертификатов, опасения IT-специалистов должны быть гораздо серьёзнее.
Исследование также выявило некоторое несоответствие между ожиданием и реальностью. Почти 75% ИТ-специалистов ответили, что у них есть инструменты для автоматизации управления сертификатами, но только 6% довольны тем, как они работают. Остальные хотели бы внести изменения, например, тратить меньше времени на управление. Основные пожелания:
- упростить отслеживание сертификатов (39%);
- автоматизировать выдачу/регистрацию сертификатов (38%);
- организовать централизованную систему управления (36%);
- тратить меньше времени на управление;
- упростить задачи, связанные с сертификатами.
Различие между электронной и цифровой подписью
Ещё одно заблуждение касается цифровых и электронных подписей. Согласно опросу, 75% якобы понимают разницу, однако подробные их ответы свидетельствуют об обратном. На самом деле «цифровая подпись» означает процесс криптографической верификации документа с цифровым сертификатом и меткой времени, а под электронной подписью часто подразумевают просто скан автографа от руки, копию мокрой подписи.
Как обычно, у каждой проблемы несколько вариантов решения. Это относится и к автоматизации PKI. Одни нанимают специалистов и внедряют полнофункциональные решения, а другие обращаются за помощью к провайдеру услуг.
Опрос проведён компанией Opinium в марте 2021 года, в нём приняли участие более 300 IT-профессионалов из США и Великобритании. Полная версия отчёта опубликована здесь.
Excel — не лучший способ управления сертификатами
Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная...
habr.com