Het leven is druk en daardoor vergeten mensen soms dingen. Sommige taken kunnen echter niet wachten en dat geldt ook voor het verlengen van de SSL/TLS-certificaten van een website. SSL-certificaten zorgen ervoor dat een persoon, computer of organisatie via het web op een beveiligde manier informatie kan uitwisselen, zoals bankrekeninggegevens, logins en creditcardnummers.
Je kan je vast wel voorstellen dat up-to-date certificaten vooral belangrijk zijn voor bedrijven zoals retailers – en dat er problemen kunnen ontstaan wanneer bedrijven deze laten verlopen. Sites kunnen gemarkeerd worden als onveilig en geblokkeerd worden door browsers, wat kan leiden tot een daling van het vertrouwen van bezoekers en, uiteraard, lege winkelmandjes.
Voorbeeld van site met vervallen SSL-certificaat in Chrome.
We gaan er allemaal van uit dat je dat risico niet wil lopen! Maar certificaten vergeten te verlengen gebeurt vaker dan je denkt en beperkt zich niet tot één sector.
De afgelopen vier maanden hebben LinkedIn, Pokemon Go, de Conservative Party in de UK en zelfs het Witte Huis hun SSL-certificaten onlangs laten verlopen. Dat zijn uiteraard grote namen en wanneer een browser aangeeft dat een website onveilig is, daalt het verkeer naar de site vaak enorm. Beveiligingswaarschuwingen kunnen ook negatieve gevolgen hebben voor hun reputaties.
In het geval van LinkedIn verliepen de subdomeinen voor een aantal landen en daardoor kreeg een groot aantal gebruikers beveiligingswaarschuwingen te zien. Voor een gevestigde site zoals LinkedIn, die een groot aantal terugkerende bezoekers heeft, is het niet onwaarschijnlijk dat veel bezoekers de waarschuwingen genegeerd hebben en de site toch bezocht hebben. Dit is zorgwekkend gedrag omdat die waarschuwingen een reden hebben. Wat zou er gebeuren als de site werkelijk geïnfecteerd was en bezoekers de waarschuwingen negeerden met de gedachte: "Oh, ik heb vroeger al eens een foutmelding gekregen toen ik LinkedIn bezocht en dat bleek vals alarm te zijn; er is vast niks aan de hand"?
Dan is er nog het Witte Huis. Laten we eerlijk zijn: het is een nogal pijnlijke situatie voor de sitebeheerder die de certificaten heeft laten verlopen. Overheidswebsites worden vaak gebruikt door het publiek en vormen vandaag doelwitten voor cyberaanvallen. Vooral voor sites van hoog niveau is het belangrijk om efficiënte beheersystemen te gebruiken om het risico te beperken en websitebezoekers tegelijk aan te moedigen om correct te reageren bij potentiële kwetsbaarheden.
Deze incidenten zijn ongelukkig, maar leren ons hoe belangrijk het is om de geldigheid van certificaten te controleren en wijzen ons op de gevaren wanneer we ze niet verlengen.
Ik moet er ook op wijzen dat hoewel de bovenstaande voorbeelden allemaal te maken hebben met openbare websites, SSL ook gebruikt wordt voor interne netwerken (waarschijnlijk zelfs meer, afhankelijk van het bedrijf) en dat certificaten die onverwacht verlopen daar ook desastreuze gevolgen kunnen hebben. Wanneer jullie processen afhankelijk zijn van die certificaten – voor encryptie, wederzijdse authenticatie enz. – kan een verlopen certificaat alles ineens stilleggen.
Voorkom dat SSL-certificaten verlopen
Je wil absoluut vermijden dat je certificaten verlopen, zoals het geval was bij de bovenstaande bedrijven, maar hoe kan je dat voorkomen? Hier kan je enkele tips vinden:
- Vertrouw niet op spreadsheets! Het doet me een beetje pijn dat mensen nog steeds op handmatig bijgewerkte spreadsheets vertrouwen om hun certificaten op te volgen. Hoewel ik jullie niet kan zeggen wat je moet doen, kan het gewoon afraden want dit systeem kan heel wat problemen met zich meebrengen. Wat als iemand vergeet om het bestand bij te werken? Wat als iemand het bestand onopzettelijk overschrijft met onjuiste gegevens? Wat als jullie systeem crasht en je alles kwijtraakt (en geen back-up hebt gemaakt)? Ah!
- Gebruik de certificaatbeheerportal van jullie CA. De meeste CA's bieden intussen een soort beheerinterface aan die je een overzicht geeft van alle certificaten die je gekocht hebt en die je kan filteren op vervaldatum. En als dat niet zo is ... dan is het misschien tijd om andere opties te overwegen.
- Controleer het e-mailadres dat aan de certificaten gekoppeld is. Bij GlobalSign sturen we standaard een herinnering via e-mail. Dat doen we op vaste tijdstippen tot de vervaldatum van een certificaat (je kan de frequentie bepalen en deze zelfs volledig uitschakelen). Deze herinneringen zijn echter waardeloos als ze naar een verkeerd adres worden gestuurd (bv. een voormalige werknemer van het bedrijf) of naar een account die niet vaak wordt gecontroleerd.
- Maak je je zorgen dat er zich ergens frauduleuze certificaten in het systeem bevinden? Met inventaristools kan je al de certificaten opsporen, ongeacht de verlenende CA en de locatie (d.w.z. openbaar of intern). Dat brengt me bij mijn laatste punt ...
- Maak een volledige inventaris van de certificaten. Je denkt misschien dat je een overzicht hebt van alle certificaten – je gebruikt de beheerportal van jullie CA, ontvang herinneringen via e-mail en synchroniseert misschien zelfs de verlengingsperioden – maar toch kan je zo nog dingen over het hoofd zien. Door zowel de openbare als interne netwerken volledig te scannen, krijg je een compleet overzicht van alle certificaten waarmee je werkt en weet je wanneer een willekeurig certificaat dat Stef van het ontwikkelingsteam bestelde verlengd moet worden.
Heb je vragen over het beheer van SSL en hoe je een inventaris van jullie certificaten kunt maken? Wij maken het u gemakkelijk en helpen u graag!