In 2024 wordt automatisering van vervanging digitale certificaten (CLM) cruciaal

In 2024 wordt automatisering van vervanging digitale certificaten (CLM) cruciaal
19 jan ‘24

In deze blog bieden we een overzicht van ontwikkelingen binnen de PKI-markt en aankomende initiatieven bij KeyTalk.

Maximale geldigheid van 90 dagen voor TLS/SSL-certificaten

Op 3 maart 2023 kondigde Google in zijn “Moving Forward, Together” routekaart aan om de maximale geldigheidsperiode voor openbare TLS-certificaten te verlagen van 398 dagen naar 90 dagen. Deze verlaging naar slechts 90 dagen maximale geldigheid zal aanzienlijke veranderingen in de industrie teweegbrengen. Hoewel de specifieke timing onbekend is, is het waarschijnlijk dat dit maximum van 90 dagen tegen eind 2024 van kracht zal zijn.

Wat is de impact?

De meeste organisaties handelen de vervanging van TLS/SSL-certificaten nog steeds handmatig af, of het wordt uitbesteed aan een externe IT-manager of een Managed Service Provider (MSP), die het ook handmatig uitvoert. Met de implementatie van deze voorgestelde regel door Google, zal de vervanging van deze certificaten vier keer zo vaak nodig zijn als nu, wat kan resulteren in aanzienlijke extra kosten. Ook zal het risico op fouten in dit vervangingsproces verviervoudigen, waardoor de kans op het in gevaar brengen van de continuïteit van cruciale IT-infrastructuur toeneemt, wat kan leiden tot veel hogere kosten.

Tijd voor Automatisering

Om voorop te blijven lopen in stijgende kosten en het risico op verdere kosten door discontinuïteit van cruciale IT-infrastructuur, is automatisering van de vervanging van TLS/SSL-certificaten essentieel. Grote certificaatautoriteiten zoals DigiCert, GlobalSign en Sectigo waarschuwen hier al voor en bieden logischerwijs hun eigen certificaatbeheersystemen aan voor dit doel. Om onnodige afhankelijkheid van dergelijke entiteiten te vermijden, is het verstandig om CA-onafhankelijke Certificate Lifecycle Management (CLM) systemen te overwegen, zoals het Certificate & Key Management System (CKMS) van KeyTalk.

Automatisering à la Let’s Encrypt

Veel webservers zijn uitgerust met Let’s Encrypt-certificaten omdat standaardautomatisering wordt aangeboden via het ACME-protocol. De geldigheid van deze certificaten is nu al 90 dagen en kan gemakkelijk zelfs kortere geldigheidsperioden ondersteunen. De uitgifte van Let’s Encrypt-certificaten omvat geen validatie van het bedrijf dat het certificaat aanvraagt, geen controles bij een Kamer van Koophandel, en geen andere legitimiteitscontroles voor het bedrijf of het domein waarvoor het certificaat wordt aangevraagd. Een certificaataanvraag bij DigiCert, GlobalSign of Sectigo wordt verwerkt met de vereiste controles en is daarom niet gratis. Met het KeyTalk CKMS echter, worden de aanvraag, installatie en vervanging van alle soorten DV, OV en EV TLS/SSL-certificaten van al deze CAs geautomatiseerd, en hoeft u zich geen zorgen te maken over certificaten die maximaal 90 dagen geldig zijn.

Uitgebreide Ondersteuning voor Automatisering

Met het KeyTalk CKMS is automatisering al jaren mogelijk op basis van de KeyTalk-agent, vergelijkbaar met een ACME-agent (Certbot of WinAcme) maar reageert bijvoorbeeld op intrekking van certificaten en onbedoelde certificaatverwijdering, wat ACME-agents niet kunnen. Aangezien KeyTalk sinds 2023 ook functioneert als een ACME-server, worden alle servers, netwerkapparatuur zoals load balancers en firewalls, en applicaties die automatisering ondersteunen op basis van het ACME-protocol, ook ondersteund met de automatisering van TLS/SSL-certificaten, maar nu voor alle soorten certificaten van DigiCert, GlobalSign en Sectigo (vanaf Q2-2024).

Ontwikkelingsroutekaart van KeyTalk voor 2024

Nu we aan weer een spannend nieuw jaar zijn begonnen, is KeyTalk verheugd om verschillende nieuwe ontwikkelingen aan te kondigen die deel uitmaken van onze routekaart voor 2024. Deze innovaties zijn ontworpen om onze diensten te verbeteren en onze klanten de meest geavanceerde beveiligingsoplossingen te bieden. Hier zijn enkele van de belangrijkste hoogtepunten:

  1. Nieuwe Embedded Certificate Network Scanner: We introduceren een geheel nieuwe geïntegreerde functie binnen het KeyTalk CKMS om netwerkcertificaten efficiënt te scannen en te importeren, deze functie volgt onze “Smart Security Scan” tool op, zodat uw netwerkbeveiliging altijd up-to-date is.
  2. Azure KeyVault-integratie: KeyTalk’s naadloze integratie met Azure KeyVault staat op het punt de op cloud gebaseerde beveiliging te verbeteren, waardoor het beheer van certificaten robuuster en gestroomlijnder wordt.
  3. Uitgebreide Load Balancer-ondersteuning voor Citrix NetScaler: Onze ondersteuning wordt uitgebreid om Citrix NetScaler op te nemen, waardoor onze compatibiliteit wordt verbreed en meer opties worden geboden voor load balancing-oplossingen.
  4. Uitgebreide ondersteuning voor automatisering van DV-certificaten: We verbeteren onze automatisering van Domain Validated (DV)-certificaten met geautomatiseerde DNS-validatie voor Azure- en AWS-gebaseerde DNS, waardoor het validatieproces volledig geautomatiseerd wordt.
  5. Verbeterde rollen, autorisaties en workflowbeheer: Verwacht meer flexibiliteit en controle met onze verbeterde rollen, autorisaties en workflow beheerfuncties, afgestemd op de diverse organisatorische behoeften.
  6. Ondersteuning voor ACME voor clientcertificaten met behulp van ACME-key attestation: In ons streven naar veelzijdigheid en geavanceerde technologie implementeren we ACME-ondersteuning voor clientcertificaten, waarbij ACME-key attestation wordt gebruikt voor verhoogde beveiliging.
  7. Ondersteuning voor EST- en CMPv2-protocol: Door ondersteuning te bieden voor het EST- en CMPv2-protocol, verbetert ons KeyTalk  CKMS de mogelijkheden op het gebied van certificaatbeheer automatisering.
  8. Toevoeging van HSM Key Attestation: Met de toevoeging van Hardware Security Module (HSM) key attestation versterken we verder de beveiliging en integriteit van cryptografische sleutels.

 

Bij KeyTalk blijven we continu evolueren om bij te blijven met de laatste trends en technologieën in cyberbeveiliging. Ons doel is om de meest efficiënte en veilige oplossingen aan onze klanten te bieden, en onze routekaart voor 2024 is een getuigenis van deze toewijding. Blijf op de hoogte voor meer updates en doorbraken in het komende jaar!

Voor meer informatie over deze aankomende functies of eventuele vragen over onze diensten, neem gerust contact met ons op. Wij staan klaar om u te begeleiden door het geavanceerde landschap van cyberbeveiliging.

 

Het KeyTalk Team