Gerenciamento de certificados é o processo pelo qual uma organização monitora e gerencia o ciclo de vida de todos os certificados implantados em uma rede.
Também conhecidos como certificados X.509, os certificados digitais têm todas as informações necessárias para autenticar a identidade de indivíduos, sites, organizações e muito mais. Os certificados digitais usam um par exclusivo de chave privada/pública que verifica as informações à medida que elas se movem em uma rede e são cruciais para identificar e validar comunicações digitais e comunicadores.
Embora a certificação digital possa parecer extremamente complexa, utilizar um certificado digital é, na verdade, um processo muito simples.
- O certificado é adquirido junto à CA (Certification Authority, autoridade de certificação), que oferece uma assinatura digital.
- O certificado é instalado no ponto de extremidade, como um dispositivo, servidor ou site.
- O certificado funciona até expirar.
- O administrador revoga o certificado e adquire um novo ou o renova.
Os certificados têm uma vida útil bem definida: eles são emitidos, usados e desativados. Dessa forma, eles têm um "ciclo de vida" específico. Esse ciclo de vida consiste em oito etapas, todas relacionadas a processos vitais de um sistema de gerenciamento de certificados. Embora algumas dessas etapas do meio do ciclo possam ocorrer em uma ordem diferente da apresentada aqui, todos os certificados devem passar por todas essas etapas durante sua vida útil.
Quando surgir a necessidade de um novo certificado, primeiramente, é necessário configurar conjuntos de cifras e criar uma chave privada em um processo conhecido como CSR (Certificate Signing Request, solicitação de assinatura de certificado). A CSR é enviada, recebida e verificada, e a autoridade de certificação passa a emitir um novo certificado.
Quando um certificado é adquirido, ele é instalado em pontos de extremidade, como servidores, aplicativos e dispositivos. As cadeias de certificados são estabelecidas, e os certificados raiz e intermediários devem ser configurados corretamente para evitar qualquer confusão durante possíveis renovações.
Durante a etapa de detecção, toda a rede é verificada para identificar onde está cada certificado e se ele foi implantado corretamente. Uma verificação de descoberta ajuda a proteger o sistema contra vulnerabilidades não resolvidas e possivelmente exploráveis, identificando quaisquer certificados desconhecidos que possam estar presentes.
As renovações e revogações de certificados são mais fáceis quando organizadas em um inventário central. Elas também são mais simplificadas quando os certificados são gerenciados com base na estrutura da equipe, gerenciados de acordo com quem os está usando.
Os relatórios e o monitoramento são importantes por dois motivos: primeiramente, os relatórios apresentam aos administradores informações sobre certificados e seus status e, ao mesmo tempo, dão respostas rápidas a perguntas importantes. Por exemplo, quais certificados precisam ser renovados? Quantos foram emitidos? Quais precisam ser substituídos? Em segundo lugar, eles garantem que o sistema não tenha pontos cegos. Isso ajuda os administradores a prever e corrigir as expirações de certificações, evitando proativamente indisponibilidades no processo.
Os certificados têm uma vida útil limitada e precisam ser renovados por uma CA para permanecerem válidos. O processo pode ser automatizado por ferramentas gerenciadoras de certificados que enviam certificados automaticamente para as CAs para renovação.
Pode haver motivos para um certificado precisar ser revogado. Esses motivos são: uma função de hash foi depreciada ou um administrador deseja um tipo diferente de certificado. Um certificado revogado é inválido, o que é importante para garantir que um certificado antigo não seja usado por terceiros mal-intencionados.
PKI (Public Key Infrastructure, infraestrutura de chaves públicas) é uma das maneiras mais importantes de entender o gerenciamento de certificados. A PKI é composta pelas funções, políticas, pessoas, produtos de hardware, software e sistemas de firmware que são necessários para conexões seguras em redes públicas e privadas.
SSL (Secure Sockets Layer) e TLS (Transport Layer Security) são os tipos mais comuns de PKI. Ambos utilizam um sistema de criptografia híbrido que usa os dois tipos de criptografia. O certificado de um servidor tem um par assimétrico de chave pública e privada, e a chave de sessão criada pelo servidor é simétrica.
A autoridade de certificação é um terceiro que oferece chaves e certificados de usuário final. Ela gerencia o ciclo de vida, inclusive geração, expiração, revogação e atualização.
Esse é o nível mais alto da hierarquia das CAs. As CAs raiz são mantidas offline com segurança. Para que a certificação de uma entidade final seja confiável, a CA raiz deve ser incorporada ao SO, ao sistema, ao navegador ou a qualquer ponto de extremidade que esteja validando o certificado.
O objetivo primário de uma CA subordinada é autorizar e definir os tipos de certificados solicitados. As CAs residem entre as certificações da entidade raiz e da entidade final.
São certificados instalados em máquinas, dispositivos, servidores e hardware criptográfico.
Aplicativo cliente se refere ao software do usuário final que solicita e usa certificados para negócios eletrônicos. Uma PKI gerenciada também precisa de serviços que operem com outros componentes, que ofereçam serviços que permitam aplicativos de comércio eletrônico. Esses serviços incluem trazer seu próprio dispositivo, assinatura de código, gerenciamento de acesso, servidores de e-mail S/MIME, assinaturas eletrônicas legalmente vinculativas e registro automatizado.
Oferece um mecanismo escalável para armazenar e distribuir certificados, listas de revogação de certificados e certificados cruzados para usuários finais de PKI. Esses componentes precisam ser dinâmicos devido à posição central deles na PKI.
Os processos empresariais precisam utilizar sistemas digitais para operar, especialmente à medida que cada vez mais dispositivos estão se conectando. Além disso, todos os sistemas conectados precisam de um certificado para operar a segurança. Os administradores precisam conseguir garantir que não haja certificados indesejados e, muitas vezes, lidar com os processos manualmente não é viável. Os sistemas especializados de gerenciamento ajudam a rastrear certificados, notificar quando os certificados expiram/estão perto da expiração, identificar certificados desconhecidos e promover uma comunicação melhor e mais segura entre as redes de uma organização.
Além disso, algumas das violações de segurança mais prejudiciais da história foram resultado de certificados expirados ou foram ainda mais exacerbadas por certificados expirados. Por exemplo, uma violação de 2017 da agência de relatórios de crédito Equifax passou despercebida por quase três meses, pois um certificado expirado impedia a inspeção adequada do tráfego de rede. Isso comprometeu as informações pessoais de 147 milhões de pessoas. E a Equifax não está sozinha; LinkedIn, Microsoft, Ericsson e, mais recentemente, o Google Voice sofreram por não ter atualizado certificados.
Os certificados expirados podem causar indisponibilidades não planejadas do sistema ou abrir brechas na segurança digital por meio das quais os agentes de ameaças podem obter acesso à sua rede. Isso pode facilmente gerar interrupção do serviço, danos à reputação, exposição de dados confidenciais da organização e do cliente e multas e penalidades severas para as empresas que permitem que seus certificados expirem.
É absolutamente essencial renovar os certificados antes que eles expirem. Mas, com possivelmente milhares de certificados em jogo, os negócios enfrentam a tarefa quase insuperável de atualizar e renovar certificados com várias CAs e, ao mesmo tempo, seguir as janelas de manutenção pré-planejadas para evitar a interrupção de serviços vitais. Talvez algo ainda mais problemático seja o fato de que os próprios certificados não têm contexto vital para ajudar as organizações a priorizar certificados críticos, identificar proprietários de serviços ou, até mesmo, determinar quais certificados precisam ser renovados.
Para garantir a renovação dos certificados no tempo certo, as organizações precisam de um inventário de certificados único, centralizado e fácil de usar. A ServiceNow transforma isso em realidade. Aproveitando os mecanismos existentes de configuração e visibilidade da ServiceNow para identificar certificados, as empresas podem manter um registro claro de todos os certificados, com pouco esforço da parte delas.
Em seguida, incorporando a automação avançada nos fluxos de trabalho otimizados para formulários, as organizações podem otimizar o processo de renovação, obtendo aprovações automaticamente, assinando tarefas e tratando com eficiência quaisquer certificados expirados. E, em meio a tudo isso, o painel do ServiceNow Certificate Management apresenta um resumo completo e rápido de todo o panorama dos certificados.
Com a ServiceNow, você pode dar a seus certificados essenciais a atenção que eles merecem e evitar o perigo, os danos à reputação e as penalidades que acompanham a expiração desses certificados.
Com a ServiceNow, preveja problemas antes que eles surjam.