A importância do gerenciamento de Certificados Digitais

A importância do gerenciamento de Certificados Digitais

A importância do gerenciamento de Certificados Digitais

A criptografia já existe há algum tempo; O interessante é como isso evoluiu. O cenário está mudando desde o passado, quando tínhamos mainframes e grande poder de computação – com tudo se tornando menor devido à proliferação de dispositivos móveis e IoT. Mais e mais certificados digitais estão sendo colocados em telefones, iPads, dispositivos Android e até mesmo em objetos que simplesmente têm conexões Bluetooth que exigem autenticação. Grandes empresas que estão produzindo dispositivos da Internet das Coisas (IoT) precisam saber como protegê-las. Até mesmo os carros agora se conectam em rede e, portanto, tem a necessidade de atualizar o firmware. Como resultado, há uma explosão de certificados digitais e, como negócio, é difícil gerenciar esses certificados usando um método como planilhas Excel, por exemplo. O uso de certificados para autenticação resulta na necessidade de gerenciar um grande volume deles, com o objetivo de ser mais proativo do que reativo. É importante colocar em perspectiva como sua equipe de segurança deseja gerenciar seus certificados digitais. Se você se esquecer de substituir um certificado em um único dispositivo ou servidor, ou se tiver uma lista de revogação que esqueceu de substituir, tal equívoco pode derrubar toda a sua rede.

Considere a Amazon, por exemplo. Para cada transação que a Amazon faz, um certificado é gerado. Se a infraestrutura de chave pública (PKI) da Amazon cair, eles perderão milhões de dólares por segundo. Portanto, ter certificados digitais em funcionamento e contar com eles para dar suporte às funções e tarefas diárias do negócio exige proatividade.

Existem dois tipos de impactos críticos em certificados digitais:

1.Interrupção

Impacto potencial nos negócios:

  • Perda de renda
  • Insatisfação do cliente

As interrupções acontecem quando um certificado é revogado e não é substituído, ou o ciclo de vida expirou. Às vezes, no que se refere ao gerenciamento de certificados, pode haver um único certificado que expirou, mas 400 caixas precisam ser substituídas. Se um deles for perdido ou for usado de maneira inadequada, uma interrupção poderá ocorrer.

2. Violação

Impacto potencial nos negócios:

  • Perda de dados
  • Danos à reputação
  • Multas

Os certificados usados ​​para assinatura digital permitem que o proprietário do certificado tenha a prova de assinatura de um documento e a verificação de identidade no momento da assinatura digital. Se um certificado for violado, você não será mais confiável. No mundo financeiro, por exemplo, isso pode resultar em multas como resultado da expiração do certificado e das funcionalidades que não estão funcionando ou funcionando incorretamente. Se houver uma violação em um site de comércio eletrônico, por exemplo, os visitantes serão expostos se inserirem dados de cartão de crédito porque não serão criptografados quando passarem para o servidor do site de comércio eletrônico.

Com isso dito, o que é o gerenciamento de certificados digitais? O objetivo é ter uma visibilidade completa de todos os certificados de forma holística, identificando os que são mais importantes para os negócios e concentrando a energia em garantir que eles estejam funcionando, não sejam comprometidos e não expirem. Muitas vezes, no entanto, o gerenciamento de certificados digitais é visto como uma tarefa de manutenção relativamente baixa, já que, dependendo da duração dos seus certificados, você só precisa se preocupar com a expiração a cada 1 a 5 anos. O problema é que essa perspectiva permite um erro humano. Se o funcionário responsável pelo gerenciamento de certificados digitais sair de férias na semana em que um certificado expirar, sua empresa poderá estar em risco. O objetivo do gerenciamento adequado de certificados digitais é estar ativamente engajado em garantir que os certificados estejam em funcionamento.

Há muitas tarefas críticas que acompanham o gerenciamento de certificados corporativos, e ignorar ou manipular incorretamente qualquer uma delas pode preparar o terreno para uma exploração de aplicativo da Web.

Para aqueles que são novos no gerenciamento de certificados, tarefas envolvidas podem ser surpreendentes. Por exemplo, os certificados precisam ser comprados, implantados e renovados quando expirarem. Isso tudo leva tempo, especialmente quando multiplicado pelas dezenas ou até centenas de aplicativos e domínios existentes em muitas empresas.

Depois, há a questão de garantir que cada certificado esteja correto para o aplicativo da Web com o qual está sendo emparelhado. É necessário ter certificados de Validação Estendida, que são mais caros porque são fornecidos e controlados por uma autoridade de certificação (CA) confiável?  Ou os certificados de baixa garantia (mais baratos) seriam apropriados, para aplicativos da Web não públicos, por exemplo?

O conjunto de ofertas de fornecedores de certificados é confuso. Existem vários níveis diferentes de validação oferecidos, diferentes tipos de hash, comprimentos e garantias (que na verdade protegem o usuário final, não o proprietário do certificado). Pode ser difícil saber que tipo de certificado é necessário para um aplicativo específico.

Pior ainda, pesquisadores descobriram que mais da metade das empresas já perdeu um certificado digital, ou havia certificados em sua rede cujas origens não puderam ser contabilizadas. Isso pode acontecer porque um desenvolvedor ou outro funcionário criou um certificado sem avisar ninguém, um problema que muitas vezes ninguém sabe.

A maioria das empresas gerencia uma variedade de certificados digitais manualmente com planilhas. Isso pode levar a erros, como certificados perdidos, incompatíveis ou rotulados incorretamente. Os certificados podem expirar inadvertidamente, o que significa que as autoridades de certificação não consideram mais um site ou aplicativo da Web seguro e confiável. Isso pode ser um erro muito caro se um aplicativo da Web afetado estiver voltado para o público. Pode causar danos à reputação da organização ou os navegadores dos visitantes podem bloquear totalmente o acesso ao site. Essa situação tem sido a causa de muitas interrupções de sistemas e é frequentemente uma das últimas causas que os administradores investigam, contribuindo significativamente para mais tempo de inatividade.

Outro problema ocorre se a CA que emitiu o certificado da organização estiver comprometida, como já aconteceu com a DigiNotar, Comodo e a TurkTrust, por exemplo. Os certificados são revogados por outras autoridades de certificação, portanto, quando um cliente se conecta ao servidor afetado, o certificado não é mais válido. Sem o gerenciamento apropriado dos certificados em um nível corporativo, é impossível dizer quantos dos seus certificados não são mais válidos.

Felizmente, existem soluções para o dilema do gerenciamento de certificados corporativos, sendo uma das mais eficazes a automação. Ferramentas automatizadas podem pesquisar uma rede e registrar todos os certificados descobertos. Essas ferramentas geralmente podem atribuir certificados a proprietários e podem gerenciar a renovação automática de certificados. O software também pode verificar se o certificado foi implantado corretamente para evitar o uso incorreto de um certificado antigo. No entanto, as ferramentas automatizadas não são perfeitas e podem exigir alguma intervenção manual, pois o scanner pode perder certificados armazenados em locais aos quais não têm acesso.

Ao adquirir uma dessas ferramentas automatizadas, verifique se o software pode gerenciar certificados de todas as CAs. Alguns só gerenciam certificados emitidos por uma autoridade de certificação específica, e é fácil perder alguns dos certificados no seu domínio, mesmo que você acredite que só usa um provedor.

É essencial para um bom gerenciamento de certificados corporativos que certos eventos sejam planejados e gerenciados. Os procedimentos devem ser escritos e comunicados, detalhando o que deve acontecer se uma autoridade de certificação for invadida e como os certificados na rede da organização devem ser substituídos. O rastreamento de certificados da CA comprometida é demorado se não for planejado antecipadamente.

Se sua organização estiver fazendo o gerenciamento de certificados manualmente, talvez seja hora de investigar uma alternativa automatizada, mesmo que você saiba que conhece todos os seus certificados. Você pode ter uma surpresa.

Conheça a nossa solução de gerenciamento de certificados digitais.

2018-11-01T15:54:05+00:00

Deixe seu comentário