Новое исследование GlobalSign 2021 PKI показало, что управление цифровыми сертификатами по-прежнему остается сложным процессом для предприятий всех размеров. Основная проблема — неполная автоматизация. Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.
Недостаток автоматизации
Инфраструктура открытых ключей (PKI) — критически важный элемент в системе безопасности. Она обеспечивает безопасность цифровых транзакций, верифицирует домены, файлы программ и многое другое. Большинство компаний используют цифровые сертификаты и цифровые подписи. Но их методы и практики далеки от совершенства.
Cогласно опросу, наибольшую боль для IТ-специалистов представляет управление сроком действия сертификатов. До сих пор многие не внедрили у себя нормальную систему автоматической замены или продления сертификатов, хотя все инструменты для этого существуют давно. Проблема особенно актуальна в свете уменьшения максимального срока действия до 13 месяцев и других грядущих изменений в правилах работы с сертификатами в 2021−2022 годы.
Кроме продления, респонденты называют следующие проблемы:
- управление несколькими типами сертификатов (45%);
- управление большим количеством сертификатов (41%);
- соответствие регуляторным нормам (38%);
- развёртывание/установка новых сертификатов (37%).
Один из самых неожиданных выводов:
36% IТ-специалистов полагаются на электронные таблицы Excel для управления сертификатами
Это по-настоящему удивительно. Excel точно не лучший инструмент.
Сегодня стандартным протоколом для управления сертификатами считается ACME (Automatic Certificate Management Environment), и все современные решения PKI поддерживают этот открытый стандарт. Например, есть certbot — опенсорсная образцовая реализация серверного ПО для управления сертификатами с поддержкой ACME и boulder — опенсорсная реализация удостоверяющего центра на Go.
Auto Enrollment Gateway: автоматизация и управление PKI для крупных предприятий с поддержкой ACME
Вопрос управления сертификатами — особенно с истекающим сроком действия — по-прежнему является серьёзной проблемой для всех предприятий. Такие случаи могут привести к дорогостоящим перебоям в обслуживании. За последние несколько месяцев зафиксированы случаи истечения срока действия сертификатов в игровой индустрии, у крупного VPN-провайдера, в крупной компании по обслуживанию кредитных карт и др. В прошлом году даже у Хабра внезапно «протух» один из сертификатов в цепочке доверия.
Цепочка доверия с «протухшим» корневым сертификатом Sectigo
30 мая 2020 года проблема с устаревшей цепочкой доверия затронула свободные библиотеки OpenSSL 1.0.x и GnuTLS. Начались сбои у сотен крупных веб-сервисов. Так что от сбоев не застрахован никто, даже самые продвинутые специалисты.
Падение трафика на Хабре после выхода из строя вышеупомянутой цепочки доверия, источник
Только 39% респондентов относят прекращение действия сертификатов и перебои в работе к числу главных проблем, связанных с неправильным использованием PKI. Хотя, судя по частоте, с которой происходят сбои в работе сертификатов, опасения IT-специалистов должны быть гораздо серьёзнее.
Исследование также выявило некоторое несоответствие между ожиданием и реальностью. Почти 75% ИТ-специалистов ответили, что у них есть инструменты для автоматизации управления сертификатами, но только 6% довольны тем, как они работают. Остальные хотели бы внести изменения, например, тратить меньше времени на управление. Основные пожелания:
- упростить отслеживание сертификатов (39%);
- автоматизировать выдачу/регистрацию сертификатов (38%);
- организовать централизованную систему управления (36%);
- тратить меньше времени на управление;
- упростить задачи, связанные с сертификатами.
Различие между электронной и цифровой подписью
Ещё одно заблуждение касается цифровых и электронных подписей. Согласно опросу, 75% якобы понимают разницу, однако подробные их ответы свидетельствуют об обратном. На самом деле «цифровая подпись» означает процесс криптографической верификации документа с цифровым сертификатом и меткой времени, а под электронной подписью часто подразумевают просто скан автографа от руки, копию мокрой подписи.
Как обычно, у каждой проблемы несколько вариантов решения. Это относится и к автоматизации PKI. Одни нанимают специалистов и внедряют полнофункциональные решения, а другие обращаются за помощью к провайдеру услуг.
Опрос проведён компанией Opinium в марте 2021 года, в нём приняли участие более 300 IT-профессионалов из США и Великобритании. Полная версия отчёта опубликована здесь.
GlobalSign предлагает PKI-решения для малого и среднего бизнеса
Свяжитесь с нами: +7 (499) 678 2210, sales-ru@globalsign.com.
Комментарии (16)
Denis_Andreevich
31.08.2021 09:49Просто так, для поддержания для разговора: почему люди для хранения структурированной информации любят использовать Excel, а не Access? Который, кстати, больше подходит.
Akuma
31.08.2021 10:02Потому что эксель-файл можно открыть практически где угодно. А чем открыть access кроме него самого?
Denis_Andreevich
31.08.2021 12:49Доля использования других продуктов по отношению к Office?
Akuma
31.08.2021 19:24А доля Access в продуктах Office?
Вордовский документ можно худо-бедно открыть чем угодно на любой системе или мобильнике. Access я даже не знаю чем можно открыть кроме оригинального ПО.
paulmann
31.08.2021 10:59
Написал себе в свое время скрипт на Perl, который по Cron проверяет статусы доменов (сколько времени осталось до перерегистрации домена, до окончания SSL сертификата, статус ответа на GET запрос). Скрипт шлет оповещения на почту в случае просрочки домена/сертификата или изменения статуса ответа. Все собираюсь вывалить на github, да руки не доходят.
unsignedchar
31.08.2021 13:23+1Но список доменов уже есть. Время протухания известно в момент покупки сертификата. Забить в календарь. Можно с поправкой на выходные и праздники. GET не нужен ;)
AcidVenom
31.08.2021 13:47А как же сверхмалая автоматизация?
unsignedchar
31.08.2021 14:32Ну, по срабатыванию календаря можно уведомление в телегу, если сертификат за деньги покупается.
paulmann
31.08.2021 15:12Удобно все проблемы с доменом видеть в одном месте.
Сертификаты Let's Encrypt - бывают с ними проблемы при перевыпуске (хоть и редко). Так что известное время протухания не панацея. Собственно из-за временного отвала перевыпуска и накидал данный скрипт.
GET - удобно видеть, если проблемы возникли на одном из доменов. Ну и редиректы сразу видно все в одном месте.
А по факту - делал, просто, для того чтоб в одном месте видеть любую инфу по нужному домену и вовремя получать оповещения о проблемах.
Akuma
31.08.2021 19:26Именно так и сделал. При этом еще и хостеры присылают уведомления за месяц где-то.
SvoboniiLogin
31.08.2021 15:41Проще всего поставить сертификаты на мониторинг - ском, заббикс , да кто угодно это умеют
uanet
27.10.2021 13:11По-моему - главная проблема в отсутствии автоматизации и работе бизнеса с платежами, особенно гос. структур (вообще не понимаю, почему сертификаты для гос учереждений должны покупаться у коммерческих структур других государств - нужны свои CA, только для гос доменов).
Вот есть один крупный ВУЗ из трёх букв. Сертификат *.ВУЗ протухает 1 ноября. Деньги проплатили вчера (осталось меньше недели до конца). Сертификат вытаскивается из веб-интерфейса руками (и хз, для каждого сервера отдельно или "один на всех"). Поскольку это для * - то и серверов, куда его надо установить - Н штук, все с разным подчинением, ПО и т.п., соответственно будет удивительно, если ничего не ляжет.
Так что эксел - не самое страшное. Он обеспечивает наглядность, особенно в случае с сертификатами от разных провайдеров и т.д. - можно внести информацию о том, куда/как заходить, чем платить и т.д. Аналогичная ситуация и с доменами, хостингом и т.д.
А виноваты во всём этом - "проклятые капиталисты", сделавшие из выдачи этих сертификатов самостоятельный бизнес (ладно бы, вместе с доменом было). SSL-сертификат в большинстве случаев давно "ни о чём", он просто обеспечивает защиту от "человека посредине", а кто реально "с той стороны" - магазин, компания, или пионер Вася с веб-сайтом "продам пол-страны за 1000 баксов" и бизнес-планом "получить 990 или N*1000+990 и слинять" - вы всё равно не узнаете (я в курсе о "навороченных сертификатах с проверкой реального покупателя сертификата" и "зелёной фигне в браузере", но это капля в море).
Очевидно, нужна открытая и распределённая система с публичными сертификатами, функционирование которой будет обеспечивать всё сообщество - "блокчейн подойдёт" :), а не отдельные игроки по "рыночным" ценам и без всяких стандартов взаимодействия.
"Электронная подпись" - это само по себе, безусловно, перл. Додуматься до правомерности использования такого для юридически значимых действий, а не сувенирных целей - это уровень "каменного века", ведь её гораздо легче скопировать-воспроизвести, чем подделать обычную на бумаге. Так что да, "голова в банку не пролезает" во многих странах и у многих людей, нередко занимающих высокие посты и принимающих реально важные решения.
ifap
Сами выдумываем проблему, сами ее героически «решаем».
unsignedchar
Надо понимать, что кто-то пытался подписать .csr электронной подписью :D
ifap
Кто-то из специалистов (в некоей неназванной области), которые занимаются учетом сертификатов, но не различают цифровую подпись и скан собственноручной? Или это два разных набора, и во втором случае шла речь о специалистах по уборке офисов? ;)