Als u het beheer van de levenscyclus van certificaten (CLM of Certificate Lifecycle Management) nog niet hebt geautomatiseerd, dan dringt de tijd.
ACME, of de Automated Certificate Management Environment, is een protocol dat enkele jaren geleden is ontworpen om het beheer van de levenscyclus van certificaten te automatiseren. Het werd oorspronkelijk gecreëerd door de Internet Security Research Group (ISRG) voor gebruik door de open-source certificeringsinstantie Let's Encrypt.
Destijds was het een noodzakelijke innovatie omdat de SSL/TLS-certificaten van Let's Encrypt slechts 90 dagen geldig waren en minstens vier keer per jaar vervangen moesten worden. Dat was anders dan andere commerciële CA's die – in overeenstemming met de CA/Browser Forum Baseline Requirements – certificaten uitgaven met een maximale geldigheid van 13 maanden (397 dagen).
Dat gaat allemaal veranderen. Na besprekingen met het CA/B Forum begin maart 2023 kondigde Google zijn voornemen aan om de maximale geldigheidsduur van certificaten terug te brengen tot slechts 90 dagen voor alle publiekelijk vertrouwde SSL/TLS-certificaten.
Hoewel er nog geen ingangsdatum of deadline is voor deze verandering, is het nu tijd om de automatisering van het beheer van de levenscyclus van uw certificaten voor SSL/TLS te beginnen plannen.
Waarom een kortere geldigheidsduur voor certificaten?
De levensduur van certificaten is de afgelopen tien jaar steeds korter geworden. Terwijl u 10 jaar geleden een SSL-certificaat voor 5 jaar kon kopen, is de looptijd geleidelijk teruggebracht van drie naar twee, en vervolgens naar de huidige maximale geldigheid van één jaar (technisch gezien 13 maanden).
Het idee hierachter is goed, ook al is het op schaal wat onhandig; hoe langer een certificaat geldig blijft, hoe minder betrouwbaar het is. Bekijk het zo: een SSL/TLS-certificaat is wat browsers gebruiken om de identiteit van een webserver te verifiëren. Hoe langer de periode tussen de verificatie van die informatie, hoe minder betrouwbaar die verificatie wordt. Bedenk hoeveel er in de loop van slechts een jaar kan veranderen – bedrijven gaan failliet, er vinden transacties en fusies plaats, bedrijven evolueren. Om het meest betrouwbare niveau van authenticatie te handhaven moet die informatie regelmatig worden geverifieerd.
Hoe regelmatig is nog maar de vraag. De vorige vertegenwoordiger van Google in het CA/B Forum – dat de wettelijke vereisten van de sector bepaalt – was van oordeel dat informatie over domeinvalidatie slechts zes weken betrouwbaar moet blijven. Drie maanden is ongeveer het dubbele (12 en een half).
Inmiddels heeft Google een enquête verspreid onder de certificeringsinstanties op het CA/B Forum en vraagt om feedback over zijn plannen voor eind maart. Daarna zal het bedrijf waarschijnlijk uitvoeringsdata aankondigen voor alle voorgestelde wijzigingen. Wij houden u op de hoogte van de ontwikkelingen.
Maar nu is het tijd voor een serieuze discussie over het beheer van de levenscyclus van certificaten in uw organisatie. En GlobalSign heeft een kant-en-klare oplossing met zijn ACME.
Automatisering is een noodzaak geworden in plaats van een wens
Het beheer van SSL/TLS-certificaten is altijd een vervelend karwei geweest. Alles wat meer is dan een handvol certificaten vereist weloverwogen planning, meerdere validaties afhandelen, de certificaten uitgegeven krijgen, ze op de juiste servers krijgen, ze installeren, ze configureren, ervoor zorgen dat u herinneringen hebt ingesteld voor wanneer ze verlopen – het is zonder meer een enorm karwei.
En dat was nog maar één keer per jaar. Vermenigvuldig dat nu met vier. Auw. Als uw IT-team op de tweede verdieping of hoger in uw gebouw zit, kunt u misschien best hun ramen dichtspijkeren.
Maar er is een eenvoudigere manier om te voorkomen dat ze het schip verlaten: de ACME-service van GlobalSign. Zoals eerder vermeld, is ACME specifiek ontworpen met deze tijdskaders in gedachten, en sinds de oorspronkelijke specificatie is het verder verfijnd om meer dan alleen open-source Domain-Validated (DV) certificaten mogelijk te maken. De ACME-service van GlobalSign kan zowel Domain- als Organization-Validated (OV) SSL/TLS-certificaten uitgeven. Bovendien wordt het ondersteund door alle ervaring, ondersteuning en Service Level Agreements (SLA's) die GlobalSign tot een van de meest gerespecteerde certificeringsinstanties en Qualified Trust Service Providers ter wereld maken.
ACME is een protocol dat de communicatie tussen een CA (GlobalSign) en een op een webserver geïnstalleerde agent mogelijk maakt. De agent beheert de volledige levenscyclus van certificaten voor alle websites op de server waarvoor hij gemachtigd is om op te treden. Klanten kunnen certificaatpakketten kopen en alles beheren via het Atlas-portaal, waardoor alle SSL/TLS-certificaten in uw netwerk volledig kunnen worden geautomatiseerd.
Geen gedoe meer met validaties. De agent doet dat voor u. Geen installaties en configuraties meer. De agent doet dat ook. En wanneer een certificaat bijna verloopt en vervangen moet worden – u raadt het al, de agent zit er bovenop.
De ACME-service van GlobalSign is een agent-agnostische, laagdrempelige automatiseringsoplossing die vervelend werk voor uw IT-team overbodig maakt en uw organisatie geld bespaart. En eerlijk gezegd kon het niet op een beter moment beschikbaar zijn in het licht van de recente aankondiging van Google.