Googles förslag om giltighetstid på 90 dagar för TLS-certifikat: En säkerhetsvinst eller en utmaning för företag?

Vad är Googles förslag på giltighetstid för 90 dagars TLS-certifikat?

Google driver på för att minska den maximala livslängden för publika TLS-certifikat från 398 dagar ner till 90 dagar. Tidigare var 398-dagarstiden satt för att balansera behovet av säkerhet med den enkla operativa förnyelsen av certifikat, särskilt i miljöer som saknar automatisering. Deras motiv är att kortare certifikatlivslängder främjar automatisering, minskar säkerhetsrisker och hjälper det digitala ekosystemet att snabbare anta de senaste säkerhetsrutinerna, till exempel genom snabbare implementering av säkra protokoll som kvantresistent kryptografi, säkra protokoll som kvantresistent kryptografi eller, i framtiden, kvantresistent kryptografi. 

I sina offentliga tillkännagivanden betonade Google att en förkortning av certifikatens livslängd skulle kräva att alla offentliga TLS-certifikat som används för HTTPS förnyas var tredje månad istället för årligen. Denna föreslagna ändring är en del av Googles pågående arbete med att förbättra webbsäkerheten globalt. 

För mer teknisk information om TLS-certifikat, se vår blogg här..   

Vad är anledningen till att Google driver en sådan förändring? 

Enligt en studie från Ema Reports är nästan 80 % av TLS-certifikat sårbara för man-in-the-middle-attacker, varav 25 % är utgångna eller självsignerade. Dessutom bidrog utgångna certifikat till Equifax-intrånget 2017. Google, Apple och Mozilla menar att en minskning av certifikatens livslängd till 90 dagar kommer att minska dessa sårbarheter och hjälpa organisationer att snabbare anta säkrare och uppdaterade protokoll. Vi observerar regelbundet scenarier där det finns ett komprometterat certifikat där ute som är giltigt i ett år.

Nu är en så lång tidsperiod en öppen inbjudan att ge angripare gott om tid att utnyttja sårbarheter. Att minska livslängden till bara 90 dagar (cirka 3 månader) minskar det fönstret, vilket innebär att eventuella intrång minskas mycket snabbare. Certifikatets livslängd på 90 dagar väljs eftersom det ger bättre säkerhet utan att vara för svårt för företag att hantera. En 30- eller 60-dagarscykel skulle kräva mer frekventa förnyelser, vilket skapar mer arbete för företag. 90 dagar är tillräckligt långt för organisationer att hantera men tillräckligt kort för att minska säkerhetsriskerna, vilket gör det till en bra medelväg.

• förbättrad säkerhet

  Att minska certifikatets giltighetstid begränsar exponeringstiden om en privat nyckel komprometteras. Med en certifikatlivslängd på 90 dagar kan eventuellt missbruk eller kompromettering av certifikatet identifieras och åtgärdas snabbt, vilket säkerställer att angripare inte har förlängd åtkomst. Men om ett stort finansföretags webbserver komprometteras kan det fortfarande utgöra en risk att vänta på nästa schemalagda utgångsdatum. Det är därför organisationer, utöver att bara förlita sig på utgångsperioder, bör implementera realtidsövervakning, omedelbara återkallningsprocesser och automatiserad nyckelrotation för att minska potentiella skador från sådana intrång. 

• Förbättrad smidighet

  Kortare livslängder för certifikat, till exempel 90 dagar, gör det enklare för webbplatser och appar att anta nya kryptografiska standarder och snabbt reagera på säkerhetsbrister. Denna flexibilitet hjälper organisationer att hålla sig uppdaterade med de senaste krypteringsalgoritmerna som rekommenderas av NIST, till exempel övergången från SHA-1 till SHA-256. Genom att förkorta certifikatens livslängd kan system snabbare implementera nya säkerhetsåtgärder, vilket förbättrar det övergripande skyddet mot nya hot som kvantberäkning. 
  För mer information om NISTs kryptografiska standarder, besök här.

• Uppmuntran av automatisering

  Kortare giltighetsperioder driver organisationer mot automatiserade certifikatförnyelseprocesser, vilket minskar sannolikheten för att utgångna certifikat orsakar avbrott och förbättrar den övergripande säkerheten. 

  ACME-protokollet (Automated Certificate Management Environment) hjälper till att automatisera denna process genom att möjliggöra felfri utfärdande och förnyelse av certifikat. Det eliminerar behovet av manuellt arbete, säkerställer att certifikat förblir giltiga och inte löper ut, och minskar även driftstopp orsakade av utgångna certifikat. Detta förhindrar avbrott och håller systemen säkra och igång smidigt. Med automatisering kan IT-team fokusera på uppgifter med högre prioritet samtidigt som de säkerställer kontinuerlig kryptering och efterlevnad av branschstandarder som 90-dagars förnyelsemandat. 

• Stödja efterlevnad och förbereda för postkvantkryptografi

  Googles strävan efter 90-dagars TLS-certifikat handlar inte bara om att förbättra säkerheten för tillfället, utan också om att förbereda sig för framtiden, särskilt med postkvantkryptografi (PQC).

Varför denna fråga?

Kvantdatorer skulle en dag kunna bryta igenom nuvarande krypteringsmetoder och därmed äventyra den digitala säkerheten. Fördelen med en kortare giltighetsperiod är att den uppmuntrar oss att hålla säkerhetsrutinerna uppdaterade. Detta gör det möjligt för organisationer att testa och implementera kvantresistenta algoritmer som CRYSTALS-Kyber på ett kontrollerat och smidigt sätt. Genom att förnya certifikat oftare kan företag integrera och utvärdera dessa avancerade algoritmer och säkerställa att deras system är förberedda för framtida framsteg inom datorteknik.

Ta internetbank som exempel. Just nu skyddar certifikat dina personuppgifter. Men i framtiden kan kvantdatorer kanske bryta krypteringen. Att uppdatera certifikat var 90:e dag hjälper företag att ligga steget före genom att säkerställa att de snabbt kan byta till kvantsäkra säkerhetsmetoder vid behov.

CA/Browser Forums syn på Googles förslag till 90-dagars TLS-certifikat     

Ocuco-landskapet CA / Browser Forum spelar en viktig roll i utformningen av SSL/TLS-standarder, och när det gäller Googles förslag på 90-dagars certifikat arbetar de aktivt med att balansera säkerhet med praktiska fördelar. CA/B fokuserar på att skapa ett säkrare webbekosystem där de kortare certifikatlivslängderna hjälper till att minska riskerna från komprometterade nycklar. 

Ett anmärkningsvärt exempel är minskningen av den maximala giltighetstiden för SSL/TLS-certifikat från 825 dagar till 398 dagar år 2020, vilket förstärker behovet av ytterligare förnyelser. På senare tid har branschen gått mot 90 dagars certifikatlivstid, vilket ytterligare betonar automatiseringens roll i att säkerställa efterlevnad. Dessa förändringar återspeglar en bredare satsning mot certifikat med kortare livslängd, vilket minskar fönstret för potentiella komprometter och säkerställer kryptografisk flexibilitet. 

Vad kan då vara uppfattningen bakom detta? För närvarande tror CA/B-forumet att denna giltighet kan leda till ett bredare införande av automatiserad certifikathantering, och detta kommer i slutändan att bidra till att hålla jämna steg med de föränderliga säkerhetsprotokollen. De tror också att ACME Protokoll kommer att vara den viktigaste möjliggöraren för denna förändring. Detta protokoll automatiserar utfärdande, förnyelse och återkallelse av certifikat, vilket hjälper företag att enkelt hantera certifikat.

Verktyg som Låt oss kryptera förenkla SSL/TLS-hanteringen, vilket säkerställer att företag har kortare livslängder samtidigt som de bibehåller en stark säkerhet. Forumet föreslår också några råd för stora organisationer och företag, till exempel att vi bör vara redo och förberedda för denna förändring genom att använda automatiseringsverktyg som kan hantera den ökade volymen av certifikat.    

Denna proaktiva hållning från forumet understryker deras övertygelse om att automatisering kommer att vara avgörande för att hantera omfattningen och komplexiteten i att hantera certifikat under en 90-dagarscykel. 

Källa: Officiellt uttalande från CA/Browser Forum.     

Fördelar med 90 dagars TLS-livslängd 

Kortare livslängder för TLS-certifikat, som förslaget på 90 dagar, har några fantastiska fördelar. Låt oss analysera det med exempel från verkligheten.     

Tänk dig stora e-handelswebbplatser som Amazon eller Flipkart. Dessa plattformar hanterar stora mängder känslig kunddata dagligen. Den kortare giltighetstiden för certifikatet kommer att säkerställa att säkerheten alltid är uppdaterad, och det hjälper också till att vinna kundernas förtroende. Med det växande hotet om onlinebedrägerier har det blivit alltmer utmanande att hantera systemsårbarheter och risker. Det är därför teknikföretag som Google driver denna förändring.

En annan anledning till denna förändring är att den eliminerar risken att någon glömmer att förnya den manuellt. Man kan tänka på det så här: om det inte finns några utgångna certifikat betyder det ingen driftstopp eller panik. Konceptet med att inga certifikat går ut gör det också möjligt för företag att snabbt implementera de senaste säkerhetsuppgraderingarna och ligga steget före cyberhot.   

Kortare certifikatlivslängder, i kombination med automatisering, hjälper företag att förbereda sig för postkvantkryptografi (PQC), vilket säkerställer säkerhet och minskar mänskliga fel. Till exempel kan automatiserad certifikatförnyelse förhindra driftstopp orsakade av utgångna certifikat, vilket observerades när Ciscos utgångna certifikat störde tjänster för över 20 000 kunder.

Dessutom fann en rapport att 81 % av organisationerna upplevde minst två störande avbrott på grund av utgångna certifikat under de senaste två åren, vilket belyser vikten av automatisering för att upprätthålla kundernas förtroende. Det är en win-win-situation för alla!

Nackdelar om vi övergår till 90 dagars giltighetstid för TLS-certifikat 

När vi diskuterar ett nytt förslag eller en förändring måste vi beakta dess för- och nackdelar. Vi har redan diskuterat fördelarna med att övergå till 90 dagars giltighetstid för TLS-certifikatet. 

• Inverkan av denna förändring på småföretagen

  Utan automatisering blir det en ständig utmaning att hålla certifikaten uppdaterade. Att missa en enda förnyelse kan leda till driftstopp, vilket potentiellt kan skrämma bort kunder. Även om automatisering verkar vara den självklara lösningen kräver implementeringen av den rätt verktyg och processer.

  För småföretag som letar efter kostnadseffektiva lösningar kan verktyg med öppen källkod som Certbot (för Let's Encrypt-certifikat) automatisera förnyelser utan kostnad. Andra alternativ inkluderar Step CA för hantering av interna certifikat och ACME.sh, en lättviktig ACME-klient. Dessa verktyg minskar manuell ansträngning samtidigt som kostnaderna hålls nere. Företag med mer komplexa behov kan utforska hanterade tjänster som Lego eller Smallstep, som erbjuder mer flexibilitet utan höga omkostnader.

• Effekt på myndigheter på äldre system

  Myndigheter kan steg för steg gå över till 90-dagars certifikat. De kan använda säkra gateways som HAProxy eller Nginx för att hantera förnyelser utan att ändra äldre system. Att automatisera certifikatuppdateringar med verktyg som Certbot eller Smallstep kan minska manuellt arbete. De kan börja med offentliga tjänster och sedan uppdatera interna system. Att lägga till 90-dagars förnyelser skulle innebära ständiga uppdateringar, vilket kan bromsa viktiga tjänster om något går fel. Det är svårt att implementera dessa frekventa ändringar med begränsade IT-resurser, särskilt när tillförlitlighet är avgörande. Så på detta sätt kan ett bra säkerhetssteg också vara nackdelaktigt för vissa.

  Vissa kritiska äldre komponenter kan fortfarande användas för långsiktiga certifikat medan automatisering införs där det är möjligt. Att uppgradera webbservrar och lastbalanserare före äldre applikationer kan göra processen smidigare. Denna metod förbättrar säkerheten samtidigt som viktiga tjänster hålls igång utan extra press på IT-teamen.

Hur bör man förbereda sig för certifikatrelaterade avbrott?    

Se, certifikat är särskilt viktiga för ett företag. De är som ett pass för din webbplats. Om du har problem relaterade till certifikat kan det leda till säkerhetsrelaterade problem. Om de går ut eller inte hanteras väl kan det leda till driftstopp, säkerhetsrisker och förlust av kundernas förtroende. Låt oss titta på några sätt att undvika avbrott relaterade till certifikat. 

• Centralisera din certifikathantering med CertSecure Manager

  CertSecure Manager samlar alla certifikat på ett ställe, vilket gör det enkelt att spåra utgångsdatum, förnya i tid och tillämpa säkerhetspolicyer konsekvent. Med en tydlig instrumentpanel med 12 nya KPI:er (Key Performance Indicators) och automatiserade arbetsflöden kan organisationer förenkla certifikathanteringen och minska säkerhetsriskerna.

• Förbättra säkerheten utöver automatisering

  Även om automatisering säkerställer snabba förnyelser är det också viktigt att genomföra regelbundna penetrationstester för att identifiera sårbarheter orsakade av utgångna eller felkonfigurerade certifikat. Organisationer bör också ställa in automatiska varningar för ovanligt certifikatbeteende och utföra efterlevnadsrevisioner för att upptäcka luckor i säkerhetstillämpningen.

• Utbilda ditt team

  Se till att din IT-personal förstår vikten av certifikathantering. Korrekt utbildning kan förhindra mänskliga fel och främja bästa praxis för hantering av certifikat.

• Övervaka marknaden och anpassa dig till förändringar som Googles 90-dagarsförslag

  Vi har en teknikvärld som ständigt förändras, och därför har vi regelverk som övervakar och kontrollerar för en smidigare övergång. Vi måste hålla oss informerade om branschuppdateringar och anpassa oss snabbt. Kortare livslängder för certifikat innebär snabbare förnyelser, men de tvingar dig också att förlita dig på automatisering och effektiva hanteringsmetoder. Så det som hjälper här är att vara proaktiv. Det håller ditt företag steget före, och du kan leda förändringarna i branschen.

Vad betyder detta för DevOps? 

Om jag någonsin måste uttrycka det med ett ord, så är det automatisering. Tänk på att förnya varje certifikat manuellt, och det var 90:e dag; det låter utmattande, eller hur? Det är därför automatisering nu har blivit en nödvändighet och inte bara ytterligare ett alternativ. Det är här ACME kommer in i bilden.  

ACME automatiserar utfärdande, förnyelse och återkallelse av certifikat, vilket gör det till en nyckelkomponent i CI/CD-pipelines för säkra distributioner. ACME-klienter som Certbot eller acme.sh kan begära och förnya certifikat, vilka sedan valideras med DNS-01- eller HTTP-01-utmaningar. När certifikaten har utfärdats distribueras de till webbservrar, lastbalanserare eller omvända proxyservrar som Nginx och HAProxy med hjälp av automatiseringsskript. Verktyg som Ansible, Terraform eller ... Kubernetes Hemligheter hjälper till att distribuera och ladda om certifikat mellan miljöer.

CertSecure Manager förbättrar denna process genom att tillhandahålla centraliserad spårning, policytillämpning och sömlös integration, vilket säkerställer säker och automatiserad certifikathantering utan manuella ingrepp. 

Exempel: Manuell kontra automatiserad certifikatförnyelse

Att manuellt förnya 500 certifikat var 90:e dag kan ta ett team cirka 250 timmar årligen, vilket till en genomsnittlig kostnad på 50 dollar per timme motsvarar 12 500 dollar i arbetskraftskostnader. Detta inkluderar inte riskerna för mänskliga fel eller missade förnyelser, vilket kan leda till kostsamma driftstopp eller säkerhetsintrång.

Med CertSecure Manager är hela processen automatiserad, från utfärdande till förnyelse, vilket eliminerar behovet av manuella åtgärder. Detta sparar inte bara 250 arbetstimmar årligen utan minskar också de tillhörande kostnaderna till nästan noll. Genom att automatisera certifikathanteringen kan ditt team fokusera på att leverera nya funktioner och förbättra produkten samtidigt som det säkerställer konsekvent säkerhet utan risk för fel eller missade deadlines. 

Säkerhetsteamens roll i policyer, utbildning och revisioner 

Det bör finnas ett tydligt och etablerat arbetsflöde för att framgångsrikt uppfylla kravet på 90 dagars giltighetstid för TLS-certifikat. Först bör de utveckla policyer som definierar hur certifikat ska övervakas och förnyas, inklusive tydliga roller och ansvarsområden. Detta inkluderar steg som att ACME-klienten begär certifikatet, att CA validerar domänägandet, att utfärda certifikatet och att automatisera förnyelser när certifikatet närmar sig utgångsdatumet.

Utöver detta måste säkerhetsteam etablera policyer för certifikathantering som överensstämmer med ramverk som ISO 27001, och definierar roller, ansvar och processer för övervakning och förnyelse av certifikat.

IT-personalen bör utbildas för att förstå vikten av snabba förnyelser och de potentiella riskerna med bristande efterlevnad. Regelbundna revisioner måste genomföras för att kontrollera om certifikat har löpt ut och för att säkerställa att förnyelseprocessen följs korrekt. Dessa revisioner bör identifiera brister och sårbarheter. Efter varje revision bör policyer och processer förfinas för att säkerställa kontinuerlig förbättring av certifikathanteringen.

Hur kommer förändringarna att genomföras? 

I nuläget har vi inget bekräftat datum för Googles förslag. Det tillkännagavs dock redan 2023. Google planerar att introducera denna förändring antingen i sin Chrome Root Program-uppdatering eller som ett förslag på en omröstning genom CA/Webbläsarforum. Detta skulle göra det möjligt för branschexperter och certifikatutfärdare att väga in beslutet och förbereda sig för övergången. Vi kan dock föreställa oss att övergången till 90-dagarscertifikat kommer att börja med att större webbläsare och certifikatutfärdare antar standarden och sätter den som ett krav.

Det kan börja med en infasningsperiod, där organisationer får tid att förbereda sig och anpassa sig. Historiskt sett har förändringar i certifikats giltighetsperioder tagit flera månader till några år att genomföra. Till exempel föreslogs en minskning av certifikatens livslängd från 825 dagar till 398 dagar 2019 och trädde i kraft i september 2020. Med tanke på detta prejudikat kan övergången ta ungefär ett till två år om förslaget om 90-dagars giltighet godkänns. 

För mer information kan du se Googles Chrome Root Program och CA/Browser Forums meddelanden: 

• Google Chromes rotprogram
• CA / Browser Forum

Bästa metoder för en smidig övergång     

För att enkelt hantera 90-dagars TLS-certifikatregeln, börja med att planera i förväg och automatisera certifikatförnyelser. Träna ditt team att hålla koll på deadlines och se till att certifikaten alltid är aktuella. Genom att ha ett enkelt system på plats kan du förhindra problem. Nedan följer de bästa stegen för att säkerställa en smidig övergång till detta nya certifikatkrav. 

• Organiserad certifikathantering för bättre säkerhet

  Att upprätthålla en centraliserad inventering av certifikat är avgörande för att spåra förnyelser och förhindra att de löper ut. Att kategorisera certifikat efter prioritet som kritiska, höga, medelhöga och låga säkerställer att de viktigaste förnyas först. Denna metod minskar driftstopp, minimerar säkerhetsrisker och effektiviserar certifikathanteringen.

• Automatisera certifikathantering

  Automatisering skulle vara avgörande här. Verktyg som CertSecure Manager från Encryption Consulting hjälper till att hantera dina certifikat sömlöst; det förbättrar säkerheten genom att identifiera och ta bort certifikat som har löpt ut eller inte används och genom att följa reglerna. För små team eller alla utan dedikerade IT-resurser finns automatisering eftersom det hjälper och fungerar på det faktum att inga förnyelser missas.

• Konfigurera varningar och övervakning

  Vi bör hålla aviseringar och övervakning aktiva hela tiden; även med automatisering hjälper aviseringar om förnyelsestatus till att upptäcka oväntade problem. Övervakningsverktyg som Nagios eller SolarWinds ger realtidsvarningar för certifikatförnyelser, meddelar administratörer om förestående utgångsdatum eller problem och säkerställer proaktiv hantering även med automatisering på plats.

• Utbilda team tidigt

  Denna förändring kommer sannolikt att kräva utbildning, särskilt i organisationer där det inte finns ett dedikerat säkerhetsteam. Om någon är medveten om hur automatisering och förnyelse fungerar, vilka fel som kan uppstå och hur man arbetar med dem, blir övergången smidigare.

• Överväg outsourcade lösningar

  Många gånger tycker små team att automatisering av certifikat är knepigt. I sådana fall finns dessa leverantörer av certifikathanteringstjänster där för att göra övergångsprocessen smidigare.

Komma igång med CertSecure Manager   

Utvärdera din nuvarande certifikathantering strategi och införa en automatiserad lösning som CertSecure-hanterare kan förbättra effektivitet och säkerhet. Med funktioner som ACME-integration för automatiserad certifikathantering och rapportering i realtid säkerställer CertSecure Manager snabba förnyelser och proaktiv övervakning, vilket ger dig bättre kontroll över dina certifikat och minskar risken för utgångsdatum.

Steg 1: Genomför en certifikatgranskning     

Du kan använda CertSecure Manager för att skanna hela ditt nätverk och upptäcka alla befintliga SSL/TLS-certifikat. Denna granskning hjälper dig att identifiera certifikat som snart löper ut och de som behöver omedelbar uppmärksamhet.   

Steg 2: Implementera ACME för automatiserade förnyelser av certifikat    

Du kan distribuera ACME-agenter över dina webbservrar och integrera dem med CertSecure Manager. Denna installation automatiserar hela förnyelseprocessen och säkerställer att 90-dagarsmandatet uppfylls utan manuella ansträngningar. ACME-integration automatiserar utfärdande och förnyelse av certifikat, medan realtidsövervakning skickar aviseringar för utgångsdatum, vilket säkerställer proaktiv hantering och minimerar risker. 

Steg 3: Övervaka och optimera     

När du använder CertSecure Manager kan du aktivera realtidsövervakning och ställa in aviseringar för att få meddelanden om kommande utgångar eller potentiella sårbarheter. Med CertSecure Managers intuitiva gränssnitt kan du snabbt åtgärda eventuella problem innan de påverkar dina tjänster.     

Steg 4: Skala upp allt eftersom du växer 

I takt med att din organisation expanderar, ökar även ditt behov av säkra certifikat. CertSecure Manager skalas enkelt och hanterar certifikat över alla dina kritiska slutpunkter, från lastbalanserare och API-gateways till IoT-enheter och molntjänsterJag tror det är dags att du tar en titt på själva produkten.

Hur kan krypteringskonsulting hjälpa till?   

Att navigera denna övergång till 90-dagars TLS-certifikat behöver inte vara en huvudvärk. Encryption Consulting finns här för att stödja organisationer med expertinsikter och lösningar som är skräddarsydda för certifikathantering, automatisering och kryptoflexibilitet. Oavsett om du hanterar ett fåtal certifikat eller övervakar en storskalig digital infrastruktur, erbjuder Encryption Consulting lösningar för att säkerställa att din certifikathanteringsprocess är både sömlös och säker. Så om du är orolig för övergången eller har några kryptografi-relaterade frågor, besök vår utbildningscentrum or kontakta oss.     

Slutsats

Googles förslag om en livslängd på 90 dagar för SSL/TLS-certifikat är ett bra drag för att förbättra webbsäkerheten genom att minska riskfönstret för certifikat som har komprometterats. Kortare giltighetsperioder kräver automatiserad certifikatlivscykelhantering (CLM), som utnyttjar protokoll som ACME som hjälper till med sömlös utfärdande, förnyelse och återkallelse. Denna metod minimerar mänskliga fel och minskar risken för utgångna certifikat. De matchar också den moderna DevOps metoder genom att integrera automatisering i CI / CD-rörledningarAtt tillämpa mer frekvent domänvalidering minskar också risken för felaktig utfärdande och inaktuella certifikat från CA, vilket effektivt stärker säkerheten i företagsnätverk och digital kommunikation.