Bez automatizace se certifikáty brzy neobejdou. A nejde jen o jejich zkracování
Internet se postupně zbavuje ručních bezpečnostních procesů. TLS certifikáty jsou jednou z posledních oblastí, kde stále spoléháme na klikání v e-mailech a ruční obnovy. To se ale mění. Kratší platnosti, častější ověřování a tlak na automatizaci zásadně mění způsob, jakým budou certifikáty fungovat.
Zkracování certifikátů je jen začátek
TLS certifikáty se historicky vydávaly na dlouhé období. To dávalo smysl v době, kdy byl web statičtější, změny vzácné a automatizace spíše výjimkou. Dnešní internet ale funguje jinak. Infrastruktura je dynamická, služby se přesouvají, škálují a mění v řádu minut, píše web Digicert.
Právě proto se dnes prosazuje model krátce platných certifikátů, které:
- snižují dopad kompromitace klíče,
- umožňují rychlejší reakci na bezpečnostní incidenty,
- nutí provozovatele držet certifikáty aktuální.
To samo o sobě ještě nemusí být problém. Problém nastává ve chvíli, kdy se tento model zkombinuje s manuální správou.
Zkracuje se i platnost ověření
Zkracování se netýká jen samotných TLS certifikátů, ale také platnosti ověření, na jehož základě jsou vydávány. To platí jak pro ověření domény (DV), tak pro ověření organizace (OV/EV).
Dříve bylo ověření vnímáno jako jednorázový krok. Dnes už to neplatí. Domény, DNS záznamy i vlastnictví firem se mění rychle a staré ověření přestává být dostatečným základem důvěry.
Kratší platnost ověření znamená, že certifikační autority musí ověřování opakovat častěji a provozovatelé webů na něj musí být připraveni kdykoliv znovu. U manuálních postupů to rychle naráží na limity – časové, provozní i bezpečnostní.
Zvlášť u OV a EV certifikátů roste tlak na automatizaci celého procesu. Nejde už jen o vydání certifikátu, ale o schopnost opakovaně a spolehlivě prokázat kontrolu nad doménou a identitu organizace.
Zkracování platnosti ověření je méně viditelná změna než zkracování certifikátů, ale z provozního hlediska má mnohem větší dopad. Bez automatizace totiž nebude co obnovovat.
E-mailové potvrzení domény skončí
Nejpoužívanější metodou ověření domény je dnes potvrzovací e-mail. Certifikační autorita odešle zprávu na jednu z předdefinovaných adres a čeká, až někdo klikne na potvrzovací odkaz. Tento model ale přestává odpovídat realitě moderního provozu webů.
E-mailové ověření je pomalé, náchylné k chybám a špatně škáluje. Stačí, aby zpráva skončila ve spamu, někdo byl na dovolené nebo se změnila odpovědná osoba, a vydání certifikátu se zastaví. U krátce platných certifikátů se z takové drobnosti stává kritické provozní riziko.
Zároveň jde o metodu, která je obtížně auditovatelná a závislá na lidském zásahu. To je přesně ten typ procesu, od kterého se bezpečnostní infrastruktura internetu snaží ustoupit. Certifikační autority i provozovatelé prohlížečů proto stále více prosazují strojově ověřitelné metody, které nevyžadují klikání v e-mailu.
Budoucnost patří ověřování pomocí DNS záznamů nebo automatizovaných HTTP/TLS kontrol, které lze opakovat kdykoliv a bez zásahu člověka. Právě tímto směrem míří celý ekosystém a e-mailové potvrzení domény v něm postupně ztrácí místo.
Proč se to děje právě teď
Hlavním hybatelem změn nejsou certifikační autority samy o sobě, ale tlak ekosystému kolem webu. Významnou roli v tom hraje Google, který dlouhodobě prosazuje:
- kratší platnost certifikátů,
- striktnější pravidla pro jejich vydávání,
- automatizaci jako základní předpoklad bezpečného webu.
Cílem není komplikovat život provozovatelům, ale odstranit slabá místa vznikající lidskou chybou. Manuální procesy jsou pomalé, nespolehlivé a špatně škálovatelné. To je přesně opak toho, jak dnešní internet funguje.
Automatizace není budoucnost, ale standard
Na první pohled to celé může působit jako další komplikace a zbytečná zátěž pro provoz webů. Ve skutečnosti ale nejde o nový problém – automatizace certifikátů je vyřešená oblast, která se v praxi používá už roky. Jen se nyní přesouvá z role doporučeného vylepšení do role standardu.
Nástroje i postupy existují, jsou prověřené a dostupné. Ať už jde o základní automatizaci pomocí ACME, nebo o pokročilou správu celého životního cyklu certifikátů přes řešení dostupná na SSLMarketu, případně systémy typu DigiCert Trust Lifecycle Manager, technologie už dávno předběhla současná pravidla.
Změna tedy není o hledání nových řešení, ale o rozhodnutí začít používat ta, která už máme k dispozici. A pokud si na jejich nasazení nechcete nebo nemůžete troufnout sami, obrátit se na odborníky je dnes ta nejjednodušší cesta, jak z potenciálního problému udělat rutinní a spolehlivou součást provozu.
