PKI certificate management: het belang en de complexiteit

PKI certificaten

pki-certificate-management-PKIpartners

 

Wat houdt PKI certificate management in? 

PKI certificate management (ook wel certificate life cycle management genoemd) is het beheren van de verschillende PKI certificaten die een organisatie bezit. Daaronder valt het aanvraag-, verleng-, intrekkings- en controleproces. PKI staat voor Public Key Infrastructure en gaat dan bijvoorbeeld om de certificaten die een website, app of portaal waarmerken. Daarnaast zijn er ook nog certificaten die bijvoorbeeld in de apparaten zitten op je interne netwerk, om een wifi-accespoint te laten werken of voor de IOT-apparaten als scanners en dergelijke.

De complexiteit van PKI certificate management is dat het enerzijds een heel technisch iets is en anderzijds een zeer hoog administratief karakter heeft. Waardoor je er specifieke kennis voor nodig hebt en heel gericht- en regelmatige aandacht aan moet besteden. Daar komt nog bij dat het managen en beheren is veranderd en nu nog meer aandacht en een nieuwe skillset vraagt. 

 

Complexiteit is exponentieel gegroeid – gevaren in de keten

De complexiteit van PKI certificate management is met de jaren toegenomen. Dat heeft een paar oorzaken:  

  • Er zijn meer apparaten en diensten bijgekomen, waardoor er meer is om bij te houden buiten de eigen directe regie.  
  • Er komt een nieuw generatie PKIoverheid certificaten die anders werken en waarvan nog niet zeker is hoe ze zullen communiceren met de oudere certificaten. De komende jaren tot 2028 zullen hierin een overgangsperiode zijn. 
  • De geldigheidstermijn van publieke certificaten wordt vanaf maart 2026 steeds korter tot het in 2029 maximaal 47 dagen geldig is. Daardoor moet er veel vaker, op tijd, een nieuwe aanvraag worden gedaan, om te voorkomen dat er processen uitvallen.  
  • De services die certificaten vereisen worden niet standaard meer in eigen beheer gehouden op ‘eigen’ servers. Ze worden veelal beheerd bij ketenpartners en leveranciers. Uitvoering en regie zijn daardoor gescheiden, maar de eindverantwoordelijkheid ligt altijd bij de proceseigenaar. Dit wordt benadrukt in bijvoorbeeld de AVG, NIS2 en BIO2.0 

PKI certificate management is nu dus een stuk ingewikkelder geworden. Om de aanvragen en bescherming toch op peil te houden, ligt automatisering als oplossing voor de hand. Een veel gebruikte oplossing is dan ook het ACME protocol.

 

Wat is het ACME protocol? 

De term “ACME” staat voor Automated Certificate Management Environment. Het is een protocol dat is ontwikkeld om de uitgifte en het beheer van digitale certificaten te automatiseren. Dit protocol stelt gebruikers in staat om op een eenvoudige en veilige manier certificaten aan te vragen, te valideren, te installeren en te vernieuwen met minimale menselijke tussenkomst.

ACME wordt vaak geassocieerd met Let’s Encrypt, een bekende gratis certificaatautoriteit die het ACME-protocol gebruikt om de levensduur van SSL/TLS-certificaten te beheren. Let’s Encrypt is daardoor een geliefd producent van certificaten. Het is gratis, het is makkelijk en je hebt geen diepe kennis nodig over certificaten en de onderliggende techniek. Er zijn ook geen moeilijke dingen die je moet bewijzen zoals of de gegevens ook werkelijk bij een bestaande organisatie horen. Eén keer goed installeren en de certificaten worden vanzelf en automatisch vernieuwd. Geen omkijken meer naar.  

 

Waarom Let’s Encrypt geen aanrader is maar ACME wel 

Let’s Encrypt plus het ACME-protocol klinkt dan als de ideale oplossing voor PKI certificate management, maar in de voordelen zitten ook meteen de risico’s: 

  1. Iedereen kan het aanvragen en beheren, dus ook een leverancier zonder enige richtlijnen voor sleutelbeheer, calamiteiten of meldplicht 
  2. Er is geen telefoonnummer, helpdesk of contactpersoon die hulp kan bieden als er iets misgaat.
  3. De certificaten worden geproduceerd in de VS en draaien daar op de servers, waardoor het los staat van EU-toezicht of normenkader 

 Betekent dit dan dat je helemaal geen Let’s Encrypt certificaten kunt inzetten? Nee dat ook weer niet, maar bedenk waarvoor je het wel en niet wil inzetten. Bedenk wat er over de lijn gaat: hoe belangrijk is de verbinding, welke mate van echtheid wil je borgen en niet in de laatste plaats; welke zekerheid wil je bieden aan je bezoekers en gebruikers. Ook bij de uitbesteedde diensten. Let’s Encrypt is de marktleider, maar zeker niet de enige producent die geautomatiseerde certificaten levert. 

 

Het belang van de leverancier keuze in PKI certificate management 

Elke connectie is als een digitale raam of deur van de organisatie en heeft een certificaat. Welk type certificaat erop moet is een keuze. Geen echtheidskenmerken in het certificaat zijn in onze beleving eigenlijk geen optie. Als je gaat automatiseren heb je ook weer keuzes te maken, zoals de leverancier waar je mee wil samenwerken.  

Tegelijkertijd wil je één ding voorkomen en dat is een vendor lock-in. Je gekozen leverancier kan namelijk in zwaar weer komen en door deelnemers van CA/B forum gewantrouwd gaan worden. Dan kan het maar zo zijn dat je ineens een alternatief moet hebben voor een uniek geautomatiseerd proces terwijl de gedachte achter automatisering van certificaten juist is dat je er geen omkijken meer naar hebt.  

 

Eén is geen – maak een lijst van eisen. 

Zorg ten alle tijde dat je in de automatisering tenminste twee verschillende certificaatproducenten kunt aanroepen, want één is geen. Elke leverancier, hoe groot en schijnbaar onfeilbaar ook, kan falen of als gevolg van een aanval niet bereikbaar zijn. Vaak worden de cloud leveranciers als Google, Amazon en Microsoft standaard aangeboden in automatiseringsoplossingen als het alternatief naast de primaire certificaat producent.

Veelal is dat niet gewenst. Als er namelijk een storing, van korte of lange duur plaatsvindt, dan kan dit een ernstige onderbreking van vitale diensten en processen opleveren. Zonder uitwijkmogelijkheid is dat een onacceptabel risico. Daarnaast wil je in staat kunnen zijn om op initiatief een vrije keuze te kunnen maken. De lock-in van cloud en sleutelleverancier in één is dan verre van gewenst. 

Maak met de inventarisatie van de mogelijke oplossing een goede lijst van minimale eisen van je eigen organisatie of het normenkader van de branche waarin je actief bent en kijk naar wat de best practices zijn. Vergeet ook niet zeker te stellen dat ook je (netwerk) apparatuur protocollen als ACME ondersteund. Anders werkt het nog niet. 

 

Een wereld tussen excel sheet en enterprise key management – ons PKI certificate management

Wij verzorgen al jaren PKI certificate management voor onze klanten, de basis daarvan is ontzorging. Mede door de nieuwe regels omtrent de geldigheidsduur van een PKI certificaat, brengen wij deze dienst nog verder door onze eigen software oplossing te ontwikkelen. De standaard bij veel gebruikers is nu een excel sheet. De standaard bij de certificaatproducenten is veelal een veel te grote enterprise oplossing, bedacht voor en door techniek gedreven ontwikkelaars.  De oplossing ligt in het midden en is eenvoudig in gebruik. In begrijpelijke taal, met standaard meerdere certificaatproducenten aangesloten én niet onnodig duur.  

Wees ook voorbereid op de toenemend complexiteit: neem contact met ons op om uw PKI certificate management goed te regelen.