DigiCert, leverancier van TLS/SSL-, IoT- en andere PKI-oplossingen, publiceerde onlangs de resultaten van zijn onderzoek ‘PKI-automatisering: de stand van zaken’. Daaruit blijkt dat er in grotere ondernemingen gemiddeld ruim 50.000 PKI-certificaten moeten worden beheerd. Als het handmatig beheren van dergelijke volumes certificaten niet op de juiste manier wordt gedaan, kan dit leiden tot kostbare uitval. Twee derde van de onderzochte bedrijven heeft te maken gehad met dergelijke uitval als gevolg van onverwacht verlopen certificaten, en bij 25% is dat het afgelopen halfjaar al vijf tot zes keer voorgekomen. Mede door deze problemen is de interesse voor PKI-automatisering groot.
Bij vooraanstaande marktleiders is de kans zesmaal zo groot dat ze al PKI-automatisering hebben geïmplementeerd. Daarmee voldoen ze aan de SLA’s voor PKI en hebben ze een beter inzicht in eventuele gebreken.
Bijna twee derde van de bedrijven maakt zich zorgen over de hoeveelheid tijd die wordt besteed aan het beheren van certificaten. Daarnaast ontbreekt het aan een compleet overzicht. Bij 37% van de bedrijven houden drie of meer afdelingen zich bezig met certificaatbeheer, met onduidelijkheid en verwarring tot gevolg. Bij de meeste bedrijven worden er tot wel 1.200 certificaten eigenlijk niet beheerd. Bij ongeveer de helft van de bedrijven (47%) worden regelmatig ongeautoriseerde certificaten ontdekt, oftewel certificaten die zijn geïmplementeerd zonder medeweten van en zonder beheer door de IT-afdeling.
‘Het aantal certificaten is enorm gestegen’, zegt Brian Trzupek, SVP of Product bij DigiCert. ‘Ook is de geldigheid van openbare TLS-certificaten sinds 2018 teruggebracht van drie naar één jaar. Als gevolg daarvan hebben bedrijven steeds meer moeite met het beheren van de workflows voor hun digitale certificaten. Ze willen wel automatiseren, maar weten niet goed hoe ze dat moeten aanpakken. En natuurlijk willen ze graag weten wat het ze op termijn gaat kosten en wat de voordelen op het gebied van beveiliging zijn.’
‘Het uitvallen van een service vanwege een verlopen PKI-certificaat is altijd een risico voor een organisatie, zeker nu certificaten veel sneller moeten worden verlengd’, vertelt Michele Liberman, SaaS Operations Manager bij Smart Communications. ‘De overhead van certificaatbeheer is hoog, want de verloopdatum moet in de gaten worden gehouden en nieuwe certificaten moeten worden aangevraagd, aangemaakt en geïmplementeerd. Daarom is het zakelijk gezien een slimme zet om die zaken te automatiseren, zodat je de risico’s en continu terugkerende werkzaamheden kunt beperken.’
De meeste bedrijven denken al na over PKI-automatisering en bij 91% wordt er op zijn minst over gesproken. Slechts 9% zegt dat het geen discussiepunt is en er ook geen plannen voor zijn. De meeste bedrijven (70%) verwachten binnen een jaar een oplossing te implementeren. Een kwart (25%) is in het stadium dat ze al bezig zijn met de implementatie van een oplossing, of die zelfs al hebben afgerond.
Niet alle bedrijven zijn hetzelfde
Het onderzoek bestond uit een reeks vragen om te bepalen hoe goed of slecht elke deelnemer het deed met betrekking tot uiteenlopende PKI-aspecten. Na het tellen van de scores werden de deelnemers in drie groepen verdeeld:
- Koplopers: de organisaties die het het beste doen
- Achterblijvers: de organisaties die het het slechtste doen
- Middenmoot: de organisaties die goed bezig zijn
Vervolgens zijn de koplopers en achterblijvers met elkaar vergeleken om te zien wat de koplopers precies beter doen.
De koplopers deden het op elk gebied twee tot drie keer beter dan de achterblijvers, bijvoorbeeld op het gebied van het minimaliseren van PKI-beveiligingsrisico’s, het voorkomen van PKI-downtime en het voldoen aan PKI-gerelateerde SLA’s. Bij de achterblijvers werden uiteenlopende probleempunten geconstateerd, zoals verlies van productiviteit, complianceproblemen, weglopende klanten en zelfs verlies van inkomsten.
De koplopers beschouwen PKI-automatisering vaker als een belangrijk aspect van de toekomst van hun organisatie. Ook maken ze zich twee keer zo druk over de tijd die het kost om PKI-certificaten te beheren. Lees het onderzoeksrapport voor meer informatie over hoe de koplopers het aanpakken en hoe hun bedrijf daarvan profiteert.
Aanbevelingen
DigiCert adviseert bedrijven om te beginnen met het automatiseren van hun certificaatbeheer en -workflows, zodat ze zeker weten dat ze werken volgens de best practices op het gebied van PKI-implementaties. Denk daarbij bijvoorbeeld aan:
Certificaten
- Certificaten opsporen en een compleet overzicht opstellen van TLS-certificaten en codeondertekeningscertificaten tot clientcertificaten enzovoort.
- Sleutels en certificaten opschonen die niet voldoen aan het bedrijfsbeleid.
- Beschermen met best practices voor uitgifte en intrekking. Standaardiseren en automatiseren van registratie, uitgifte en verlenging.
Certificaat-workflows
- Verwerken van onbeheerde of handmatige certificaatworkflows met software voor centrale zichtbaarheid en beheer van workflows voor bijvoorbeeld codeondertekening, documentondertekening en identiteits- of toegangsoplossingen.
Het in Dallas, Texas gevestigde bedrijf ReRez Research hield dit onderzoek onder IT-professionals van 400 bedrijven met 1.000 of meer medewerkers in Noord-Amerika, EMEA, Pacifisch Azië en Latijns-Amerika. Het volledige rapport staat hier.