Slut på bensin vid manuell spårning? Tanka med automatisering

Beskrivning 

Automatisering av certifikatlivscykeln är praxisen att ersätta manuell, människoberoende certifikatspårning med policydrivna, händelseutlösta arbetsflöden som hanterar identifiering, utfärdande, driftsättning, övervakning, förnyelse och återkallelse i stor skala. När certifikat hanteras manuellt istället introducerar processen betydande operativa risker, efterlevnadsluckor och hot mot tjänstetillgängligheten som förvärras i takt med att certifikatvolymerna ökar och livslängden förkortas.

Digitala certifikat är grundläggande för företagssäkerhet. De möjliggör krypterad kommunikation, autentiserar identiteter, säkrar webbtrafik, skyddar e-post och skapar förtroende mellan system, användare och enheter. Bakom varje HTTPS anslutning, varje VPN-tunnel, varje smartkortsinloggning och varje signerat e-postmeddelande är ett certifikat som utfärdades, driftsattes, övervakades och så småningom förnyades eller återkallades som en del av en definierad livscykel. 

Ändå hanteras denna livscykel fortfarande manuellt i många organisationer. Kalkylblad spårar utgångsdatum. Kalenderpåminnelser fungerar som den sista försvarslinjen mot avbrott. E-posttrådar mellan applikationsägare, säkerhetsteam och IT-drift blir den primära samordningsmekanismen. 

Denna strategi är inte längre hållbar. Ocuco-landskapet CA / Browser Forum godkände enhälligt Ballot SC-081v3 i april 2025, vilket fastställde ett stegvis schema för att minska den maximala giltighetsperioden för TLS-certifikat från 398 dagar till endast 47 dagar senast i mars 2029, med mellanliggande steg på 200 dagar senast i mars 2026 och 100 dagar senast i mars 2027. Återanvändningsperioden för Domain Control Validation (DCV) kommer också att krympa till endast 10 dagar senast 2029. 

På Encryption Consulting ser vi denna utmaning på nära håll i kundmiljöer. Organisationer som förlitar sig på manuella processer arbetar inte bara ineffektivt; de bär på undvikbara risker. Den här bloggen undersöker varför manuell certifikatspårning misslyckas, hur automatisering förändrar ekvationen i varje steg av certifikatlivscykeln och hur CertSecure-hanterare hjälper organisationer att ta kontroll över sin certifikatmiljö. 

Tidslinje för minskning av giltighetstid för TLS-certifikat i CA/Browser Forum 

Följande tabell sammanfattar den etappvisa tidslinjen för giltighetsminskningen av TLS-certifikat enligt omröstning SC-081v3. 

Giltig datum	Maximal livslängd för certifikat	Maximal DCV-återanvändningsperiod	Praktisk förnyelsekadens
Nuvarande (fram till mars 2026)	398 DAYS	398 DAYS	Årlig
Mars 15, 2026	200 DAYS	200 DAYS	Var 6: e månad
Mars 15, 2027	100 DAYS	100 DAYS	Var 3: e månad
Mars 15, 2029	47 DAYS	10 DAYS	En gång i månaden

Varför misslyckas manuell certifikatspårning? 

Manuell certifikatspårning misslyckas eftersom den förlitar sig på kalkylblad, självrapporterade inventeringar och ad hoc-samordning, vilket inte kan hålla jämna steg med volymen, hastigheten och den distribuerade karaktären hos moderna certifikatmiljöer. De fem primära fellägena är ofullständig synlighet, mänskliga fel, oklart ägarskap, inkonsekventa processer och oförmåga att skala upp. 

Ett skuggcertifikat är ett digitalt certifikat som distribueras utanför den centraliserade PKI process — vanligtvis av utvecklingsteam, DevOps ingenjörer eller molnbaserade tjänster – som finns i produktion men är osynliga för säkerhets- och driftteam. Eftersom skuggcertifikat inte registreras i något spårningsblad eller lager kan administratörer inte se dem. Ett skuggcertifikat som löper ut orsakar samma avbrott som alla andra utgångna certifikat, men ingen vet att det existerar förrän tjänsten går ner. 

Även när certifikat registreras korrekt är manuell spårning beroende av att någon kommer ihåg att agera utifrån informationen. En missad kalenderpåminnelse, en anställd som byter roll, ett hektiskt kvartal där underhåll nedprioriteras – allt detta kan resultera i att ett certifikat löper ut utan förnyelse. Konsekvenserna är omedelbara: avbrott i tjänsten, säkerhetsrisker och regelöverträdelser. 

Oklart ägarskap är det tysta felläget. Ett certifikat kan begäras av en utvecklare som senare byter team, distribueras av en driftsingenjör som sedan har slutat och spåras i ett kalkylblad som senast uppdaterades av en säkerhetsanalytiker på föräldraledighet. När det löper ut är frågan inte "varför förnyade vi inte?" utan "vem skulle ha gjort det?". 

Inkonsekventa processer förvärrar ägarproblemet. Ett team förnyar 30 dagar i förtid via en supportförfrågan, ett annat förnyar på utgångsdagen via e-post, ett tredje använder ett skript som ingen annan har tillgång till. Det finns ingen enskild sanningskälla, och revisionsspår rekonstrueras i efterhand snarare än att registreras i realtid. 

En organisation som hanterar 500 certifikat med en livslängd på 398 dagar står inför ungefär 500 förnyelser per år. Under den kommande 47-dagars livslängdskravet kommer samma organisation att möta cirka 4 000 förnyelsehändelser per år, en åttafaldig ökning. Med den volymen är manuell hantering operativt omöjlig utan oproportionerliga investeringar i mänskliga resurser. 

Vad händer när certifikat går ut? Verkliga händelser

Utgångna certifikat har orsakat några av de mest uppmärksammade avbrotten och säkerhetsincidenterna de senaste åren. Följande tabell sammanfattar större incidenter som direkt orsakats av att certifikat har löpt ut eller att hanteringen har varit felaktig. 

Organisation	År	Inverkan
Equifax	2017	En utgången SSL-certifikat på en nätverksövervakningsenhet förblev oupptäckt i 19 månader, vilket gjorde det möjligt för angripare att stjäla 148 miljoner poster från 48 databaser under 76 dagar. En efterföljande granskning identifierade 324 utgångna certifikat i hela miljön. Återställningskostnad: ~243 miljoner dollar.
Microsoft-lag	2020	Flertimmars globalt avbrott som påverkar miljontals användare. Grundorsak: ett utgånget autentiseringscertifikat som inte förnyades före utgångsdatumet.
O2 / Ericsson	2018	Ett utgånget certifikat i Ericssons telekomutrustning orsakade ett 24-timmars mobilnätsavbrott i 11 länder, vilket påverkade 32 miljoner O2-kunder. O2 stämde därefter Ericsson med en skadeståndskrav på 73 miljoner pund.
USAs regering	2019	130 myndighetswebbplatser förlorade HTTPS under den federala nedstängningen eftersom certifikatförnyelser inte automatiserades och ansvarig personal permitterades.

Enligt Keyfactors PKI- och Digital Trust-rapport från 2024 upplevde organisationer i genomsnitt tre certifikatrelaterade avbrott under en 24-månadersperiod, med en genomsnittlig identifieringstid på 2.6 timmar och en åtgärdstid på 2.7 timmar per incident. Dessa incidenter delar ett gemensamt mönster: ett certifikat löpte ut eftersom ingen spårade det effektivt, och det resulterande avbrottet var helt förebyggbart. 

Hur fungerar automatisering av certifikatlivscykeln? 

Automatisering av certifikatlivscykeln ersätter manuella, människoberoende processer med konsekventa, policydrivna, händelseutlösta arbetsflöden som fungerar i stor skala. Automatiseringen hanterar varje steg i certifikatlivscykeln: identifiering, utfärdande, driftsättning, övervakning, förnyelse, återkallelse och rapportering. 

Automatiserade identifieringsmotorer skannar kontinuerligt hela nätverket, inklusive molnplattformar, lokala servrar, containrar och IoT-enheter, för att identifiera varje certifikat i miljön. Detta eliminerar skuggcertifikat och ger en realtidsinventering som alltid är aktuell, vilket manuella kalkylblad inte kan matcha. 

Automatiserade förnyelsearbetsflöden utlöses långt före utgångsdatum baserat på konfigurerbara tröskelvärden. Certifieringar förnyas, återutfärdas och omdistribueras utan manuell åtgärd. Med livslängder under 47 dagar är detta inte valfritt. Manuell förnyelse med den takten är operativt ogenomförbar för organisationer som hanterar mer än en handfull certifikat. 

Automatiserade CLM-system upprätthåller detaljerade loggar över varje händelse i certifikatets livscykel, inklusive vem som begärde det, när det utfärdades, när det förnyades, vem som godkände det och var det distribuerades. Dessa revisionsloggar förenklar efterlevnaden av ramverk som PCI DSS, HIPAA, NIST, SOC 2och GDPR, vilket i allt högre grad kräver dokumenterade bevis på korrekt certifikathantering. 

Certifikatlivscykel: Manuell spårning kontra automatisering 

Följande tabell kartlägger varje steg i certifikatets livscykel med avseende på de utmaningar som manuell spårning medför och den lösning som automatisering ger. 

Livscykelstadiet	Manuell inställning	Risk med manuell	Hur automatisering löser det
Discovery	Kalkylblad och ad hoc-skanningar. Teams självrapporterar intyg.	Skuggcertifikat oupptäckta. Inventeringen är alltid ofullständig.	Automatiserade skannrar upptäcker kontinuerligt alla certifikat och upprätthåller en centraliserad inventering i realtid.
Begäran / Registrering	Förfrågningar via e-post eller ärenden. Manuella godkännanden.	Inkonsekventa format. Policyöverträdelser vid begäran.	Självbetjäningsportaler med policybaserade mallar. Automatiserad generering av CSR. Arbetsflöden för godkännande på flera nivåer.
emission	Manuellt utfärdat från CA-konsolen. Filer distribuerade via e-post.	Beror på tillgänglighet för CA-administratör. Parameterfel upptäcks inte.	Programmatisk utfärdande via REST API:er, ACME, SCEP eller EST. Automatiska policykontroller.
konfiguration	Manuell installation på servrar, lastbalanserare, applikationer.	Felkonfiguration. Förseningar mellan utfärdande och driftsättning.	Förnyelseagenter distribueras automatiskt till IIS, Apache, Tomcat och F5 omedelbart efter utfärdande.
Övervakning	Kalkylbladsspårning. Kalenderpåminnelser.	Påminnelser missade. Ingen insyn i hälsa eller algoritmstyrka.	Dashboards i realtid. Aviseringar via e-post, Slack, Teams eller ServiceNow.
Förnyelse	Manuell identifiering, CSR-generering, ominstallation.	Missas under perioder med hög belastning. Ägarbyten orsakar luckor.	Automatiserade arbetsflöden med konfigurerbara tröskelvärden. Förnyelse med ett klick eller helt automatiserad.
Återkallande	Manuell återkallelse via CA-konsolen. CRL-uppdateringar.	Försenad återkallelse. Inkonsekventa CRL-uppdateringar.	Återkallelse med ett klick. Automatisk CRL-uppdatering och meddelande till intressenter.
Rapportering och revision	Manuell kompilering från flera system.	Brister i efterlevnaden. Ofullständiga revisionsloggar.	Automatiserad rapportgenerering med fullständiga revisionsloggar. Schemalagd leverans.
CA-migrering	Individuell återutgivning och manuell omplacering.	Långsam. Felbenägen. Riskerar avbrott.	Massutgivning med automatiserad distribution. CA-agnostiska kopplingar.
Krypto-agilitet	Manuell identifiering och ersättning av berörda certifikat.	Veckor av exponering. Inkonsekvent åtgärd.	Massutgivning på timmar. Miljöomfattande automatiserad ersättning.

Vad är CertSecure Manager och hur automatiserar det CLM? 

CertSecure-hanterare är Encryption Consultings lösning för hantering av certifikatlivscykeln, specialbyggd för Microsoft Active Directory-certifikattjänster (AD CS) och utvidgas till offentliga och privata certifikatutfärdare över hybridinfrastruktur. Den tillhandahåller heltäckande automatisering för certifikatidentifiering, utfärdande, driftsättning, övervakning, förnyelse, återkallelse och rapportering från en enda enhetlig instrumentpanel. 

De flesta CLM-lösningar på marknaden är tätt kopplade till en enda certifikatutfärdare, vilket gör att organisationer med flera certifikatutfärdarmiljöer måste sammanfoga separata verktyg eller förlita sig på manuella processer. CertSecure Manager har en leverantörsneutral strategi och ansluter till Microsoft AD CS, DigiCert, HashiCorp Vault och andra publika och privata certifikatutfärdare via en enda plattform. Oavsett om en organisation kör en lokal Microsoft PKI, förlitar sig på publika certifikatutfärdare för externa certifikat eller arbetar i en hybridmodell, ger CertSecure Manager enhetlig insyn och automatisering utan att kräva en omfattande förändring av den befintliga certifikatutfärdarinfrastrukturen. 

Kärnfunktioner hos CertSecure Manager 

• Enkel glasruta: Integreras med flera certifikatutfärdare, inklusive Microsoft AD CS, DigiCert, HashiCorp Vault och andra publika och privata certifikatutfärdare, vilket ger enhetlig insyn i certifikatutfärdarens hälsa, CDP/AIA-status, CRL-publicering och certifikatinventering. 
• Automatiserad upptäckt: Skannar nätverket kontinuerligt för att upptäcka alla certifikat, inklusive de som distribueras utanför godkända arbetsflöden. Eliminerar skuggcertifikat. 
• Förnyelse och återkallelse med ett klick: Stöder förnyelse med ett klick med automatisk omdistribution och återkallelse med ett klick med automatiska CRL-uppdateringar och aviseringar via e-post och Teams. 
• Förnyelseagenter: Distribuerar lättviktiga agenter på servrar (IIS, Apache, Tomcat), lastbalanserare (F5) och interna applikationer för automatisk certifikatinstallation efter förnyelse. 
• Policytillämpning och FIPS-efterlevnad: Definierar och tillämpar certifikatpolicyer på global nivå och avdelningsnivå, inklusive algoritmbegränsningar, minimikrav för nyckelstorlekar och arbetsflöden för godkännande på flera nivåer. Stöder FIPS-kompatibelt läge. 
• Protokollsupport: Stöder REST API:er, ACME-, SCEP- och EST-protokoll (inklusive EST-coaps för IoT-enheter) för integration med DevOps pipelines och CI/CD-arbetsflöden. 
• Avdelningssegregering: Tillämpar lägsta möjliga behörighet genom åtkomstkontroller för avdelningar. Automatisk ägaröverföring när användare avregistreras. 
• ITSM-integration: Dirigerar aviseringar till ServiceNow, Slack och Microsoft Teams. Schemalägger automatisk rapportleverans via e-post. 
• Flexibel implementering: Tillgänglig lokalt, i molnet, SaaS eller som hybridlösning för att matcha organisationens behov. 

Hur kan krypteringskonsultation hjälpa till? 

Manuell certifikatspårning är inte bara en operativ olägenhet; det är en risk som ökar med tiden. I takt med att certifikatvolymerna växer, livslängden förkortas och hybridmiljöer blir mer komplexa, fortsätter gapet mellan vad manuella processer kan hantera och vad miljön kräver att öka. Krypteringskonsulting hjälper organisationer att minska det gapet. 

• PKI-bedömningstjänster utvärdera era nuvarande rutiner för certifikathantering, identifiera luckor i synlighet, ägarskap och policytillämpning och leverera en prioriterad färdplan för att förbättra era certifikatoperationer. 
• CertSecure-hanterare ger den automatisering, insyn och kontroll som behövs för att hantera certifikat i stor skala. Byggt med Microsoft AD CS i kärnan och utökat till offentliga och privata certifikatutfärdare över hybridinfrastruktur. 
• PKI-supporttjänster ge experthjälp dygnet runt för löpande certifikatdrift, felsökning och incidenthantering. 
• PKI-som-en-tjänst (PKIaaS) levererar en heltäckande, högkvalitativ Microsoft PKI, designad, byggd och underhållen av Encryption Consultings experter. 

Vanliga frågor om partihandel med mat och dryck

1. Vad är den nya regeln för 47 dagars TLS-certifikat och när träder den i kraft?

   I april 2025 godkände CA/Browser Forum enhälligt Ballot SC-081v3, vilket fasar ut den maximala giltigheten för TLS-certifikat från 398 dagar till 47 dagar. Schemat är 200 dagar från och med den 15 mars 2026; 100 dagar från och med den 15 mars 2027; och 47 dagar från och med den 15 mars 2029. Återanvändningsperioden för Domain Control Validation (DCV) minskar parallellt och når bara 10 dagar år 2029, vilket innebär att domänägarskapet måste verifieras igen ungefär varje månad. 

2. Hur skiljer sig automatisering av certifikatlivscykeln från ett verktyg för certifikatinventering?

   Ett inventeringsverktyg spårar passivt vilka certifikat som finns och när de löper ut. Automatisering av certifikatlivscykeln utför aktivt arbetet – upptäckt, utfärdande, driftsättning, förnyelse och återkallelse – genom policydrivna, händelseutlösta arbetsflöden. Vid en 47-dagars kadens misslyckas enbart inventeringen: vetskapen om att ett certifikat snart löper ut förhindrar inte avbrottet om en människa fortfarande måste generera CSR:n manuellt, begära certifikatet och omdistribuera det över servrar, lastbalanserare och applikationer. 

3. Kan CertSecure Manager fungera tillsammans med våra befintliga Microsoft AD CS och publika certifikatutfärdare?

   Ja. CertSecure Manager är leverantörsneutral och ansluter till Microsoft AD CS, DigiCert, HashiCorp Vault och andra publika och privata certifikatutfärdare via en enda plattform. Oavsett om du kör en lokal Microsoft PKI, förlitar dig på publika certifikatutfärdare för externa certifikat eller använder en hybridmodell, ger CertSecure Manager enhetlig insyn och automatisering utan att du behöver rippa och ersätta din befintliga certifikatutfärdarinfrastruktur. 

Slutsats 

Certifikathantering är inte längre en administrativ bakgrundsuppgift. Det är en säkerhetskritisk operativ funktion som direkt påverkar tjänstens tillgänglighet, dataskydd, regelefterlevnad och organisationens motståndskraft. Manuell spårning via kalkylblad, kalenderpåminnelser och ad hoc-samordning tjänade sitt syfte när certifikatvolymerna var små och livslängderna långa. Den eran är över. 

CA/Browser Forums beslut att minska livslängden för TLS-certifikat till 47 dagar senast 2029 är ett branschomfattande erkännande av att framtiden för certifikathantering är automatisering. Organisationer som fortsätter att förlita sig på manuella processer kommer att möta en ökande frekvens av förnyelser, en växande attackyta från ohanterade certifikat och en eskalerande risk för avbrott och dataintrång som redan har kostat företag hundratals miljoner dollar. 

Kalkylblad och kalenderpåminnelser gick som tomma i åratal; 47-dagarseran är den tomma tanken. Automatisering gör inte bara certifikathantering enklare – den möjliggör det i den skala som moderna företag kräver. Från kontinuerlig identifiering och policydriven utfärdande till proaktiv förnyelse, automatiserad driftsättning och realtidsövervakning, förvandlar en korrekt implementerad CLM-lösning certifikathantering från en reaktiv brandbekämpningsövning till en pålitlig, repeterbar och granskningsbar operativ praxis. 

De organisationer som investerar i automatisering idag kommer att bygga krypto-agility behövs för att bemöta nya hot, anpassa sig till förändrade efterlevnadskrav och förbereda sig för övergången till post-kvantkryptografiDet är inte bara bra certifikathantering. Det är bra säkerhetsstyrning.