Fuld synlighed i din TLS-certifikatoversigt

Spørg de fleste IT- og sikkerhedsteams hvor mange TLS-certifikater deres organisation har, og du vil få et omtrentligt skøn, et tøvende gæt, eller et ærligt "vi ved det faktisk ikke rigtig." Oversigten er spredt, ufuldstændig og ofte måneder bag virkeligheden. Sådan retter du det — og hvorfor det betyder mere end de fleste teams indser.

Certifikatstyringsproblemer starter næsten altid som et synlighedsproblem. Teams glemmer ikke at forny certifikater fordi de er skødesløse — de misser dem fordi de ikke ved certifikaterne eksisterer, eller fordi oplysningerne om hvad der eksisterer er spredt på tværs af nok forskellige systemer at det at opretholde et komplet billede kræver konstant manuel indsats som ingen har tid til.

Resultatet er at de fleste organisationer styrer en delvis oversigt — de certifikater de kender til — mens en betydelig del af deres faktiske certifikatfodaftryk sidder usporet, uovervåget og stille akkumulerer risiko.

Hvorfor en komplet certifikatoversigt er sværere end det lyder

I teorien er opbygning af en certifikatoversigt ligetil: find alle dine certifikater, put dem på en liste, overvåg dem. I praksis er kilderne fragmenterede og certifikater dukker op på steder ingen tænkte at tjekke.

Flere CA'er, flere processer. Store organisationer har typisk certifikater fra flere Certificate Authorities — en managed CA-relation til produktionscertifikater, gratis Let's Encrypt-certifikater til automatiserede tjenester, og individuelle teammedlemmer der fik certifikater via deres cloududbyders certifikathåndtering. Der er ingen enkelt sandhedskilde der dækker dem alle.

Infrastruktur der går forud for nuværende processer. Legacy-systemer har ofte certifikater der blev sat op for år siden, inden nogen formel certifikatstyring eksisterede. Disse certifikater fornyes måske stadig automatisk — eller de sidder bare der, lang tid efter deres fornyelsesdato, og serverer udløbne certifikatfejl til ingen i særdeleshed fordi selve tjenesten knapt bruges.

Tredjeparts- og leverandørsystemer. Mange organisationer har tjenester opereret af tredjeparter under deres eget domæne — hostede platforme, managed services, CDN-konfigurationer. Disse tjenester har certifikater, og medmindre der er en eksplicit aftale og overvågningsproces, er disse certifikater typisk usynlige for organisationens sikkerhedsteam.

Certifikater tilføjes hurtigere end de dokumenteres. Moderne infrastruktur ændres hurtigt. Nye tjenester deployes i CI/CD-pipelines. Nye miljøer spindes op. Udviklere opretter testendepunkter. Hver af disse kan involvere et nyt certifikat, og dokumentationsprocessen holder næsten aldrig trit med deploymentsprocessen.

Tre kilder der tilsammen giver det fulde billede

Ingen enkelt kilde vil give dig en komplet certifikatoversigt. I praksis kræver et komplet billede at kombinere tre tilgange:

1. Certificate Transparency-logenumeration. For hvert offentligt tilgængeligt certifikat din organisation nogensinde har fået udstedt til sine domæner er der en permanent post i CT-logs. Forespørgsel på disse logs giver dig en komplet historisk oversigt over dit eksterne certifikatfodaftryk — inklusiv ting ingen på dit team har tænkt på i årevis. Dette er den hurtigste måde at opdage skygge-IT, glemte tjenester og uventede udstedelser. Det dækker ikke interne certifikater udstedt af private CA'er.

2. Aktiv netværksscanning. CT-logs fortæller dig hvilke certifikater der er udstedt. Aktiv scanning fortæller dig hvad der faktisk kører og leverer disse certifikater nu. En scanner forbinder til dine hosts på relevante porte, henter det præsenterede certifikat og registrerer hvad den finder — inklusiv tilfælde hvor det præsenterede certifikat ikke matcher hvad CT-logs tyder på skulle være der, hvilket i sig selv er et interessant finding. Til interne netværk kræver dette en agent der kan nå systemer bag din firewall.

3. Direkte CA- og certifikatmanagerintegration. Hvis din organisation bruger en managed CA-relation eller en cloud-certifikatmanager (AWS Certificate Manager, Azure Key Vault osv.), har disse systemer API'er der kan levere oversigtsdata direkte. Dette er mest nyttigt til produktionscertifikater styret via formelle processer — det dækker de certifikater du kender til, men hjælper ikke med dem der gik uden om processen.

Kombinationen af alle tre giver dig noget tæt på et komplet billede: CT-logs til dit eksterne historiske fodaftryk, scanning til hvad der aktuelt er aktivt, og CA-integration til din managed oversigt. Hver kilde fanger ting de andre misser.

Hvad du skal registrere for hvert certifikat

Når du har kilderne registrerer en nyttig certifikatoversigt mere end bare domænet og udløbsdatoen. De mest operationelt værdifulde felter er:

Domæne / Subject Alternative Names — den fulde liste af navne certifikatet dækker, ikke kun det fælles navn.
Udløbsdato — not-after-datoen med et beregnet dage-tilbage-felt der opdateres automatisk.
Udstedende CA — hvilken CA der udstedte dette certifikat og via hvilken proces.
Miljø — produktion, staging, udvikling, intern. Risikoprioriteten afhænger meget af miljøet.
Ejer / ansvarligt team — hvem er ansvarlig for fornyelse når udløbsadvarslen udløser. Uden dette går advarsler overalt og ingen handler.
TLS-grad — endepunktets sikkerhedspostur, ikke kun om certifikatet er gyldigt. Et gyldigt certifikat på en server der stadig kører TLS 1.0 er et compliance-problem.
Fornyelsesmetode — fornyes dette certifikat automatisk via ACME, manuelt via en CA-portal, eller styres det af en tredjepart? Fornyelsesmetoden bestemmer risikoprofilen og hvad der er behov for overvågning af.
Sidst set aktiv — for certifikater opdaget via CT-logs der måske eller måske ikke stadig er aktive — hvornår var tjenesten sidst bekræftet tilgængelig?

Kløften mellem den indledende oversigt og løbende nøjagtighed

At opbygge en indledende oversigt er et projekt. At holde den nøjagtig er en løbende operationel proces — og det er her de fleste manuelle tilgange bryder sammen.

Infrastruktur ændres kontinuerligt. Nye tjenester go-liver. Gamle tjenester udfases (eller gør det ikke, men stopper med at blive aktivt styret). Automatiske certifikatfornyelser ændrer udløbsdatoer uden at nogen opdaterer et regneark. Teams omorganiseres og certifikatejerskab bliver uklart.

En statisk oversigt — selv en grundig en — begynder at blive forældet den dag den er færdig. Inden for et par måneder vil den have misset nye certifikater, stadig liste certifikater til udfasede tjenester som aktive, og have ejerskabsoplysninger der ikke længere afspejler aktuelle teamstrukturer.

At holde en oversigt opdateret kræver at nye certifikater opdages automatisk og tilføjes uden manuel input, og at oversigten kontinuerligt valideres mod hvad der faktisk er live. Begge disse kræver løbende scanning frem for periodiske audits.

Hvad du skal gøre når du finder hullerne

Den første omfattende oversigtsøvelse afslører næsten altid mere end teams forventer. Almindelige findings:

Certifikater der udløber inden for de næste 30 dage som ingen havde markeret
Tjenester der kører forældede TLS-konfigurationer (TLS 1.0/1.1, RC4, svage DHE-parametre)
Certifikater uden klare ejere — udstedt af tidligere ansatte eller teams der ikke længere eksisterer
Tjenester der ser ud til at være aktive i CT-logs men ikke længere resolver — potentiel DNS-oprydning nødvendig
Uventede CA'er — certifikater udstedt af CA'er din organisation ikke autoriserede via CAA-records
Wildcard-certifikater der dækker bredere omfang end tilsigtet

Den umiddelbare prioritet er certifikater der udløber snart og tjenester med betydelige TLS-konfigurationsproblemer. På længere sigt er ejerskabshuller og uautoriserede udstedelser processpørgsmål — de angiver hvor certifikatgovernance trænger til styrkelse.

Hvordan CertControl opbygger og vedligeholder oversigten

CertControl er bygget omkring problemet med at få og vedligeholde en komplet, nøjagtig certifikatoversigt. Platformen kombinerer CT-logenumeration til ekstern certifikatopdagelse, aktiv scanning til både eksterne og interne netværk (sidstnævnte via on-premise agenten), og kontinuerlig overvågning til at holde oversigten opdateret efterhånden som ting ændres.

Hvert certifikat i oversigten får en risikoscore baseret på udløbsnærhed, TLS-konfigurationskvalitet, miljø og om det har en sporet ejer. Udløbsadvarsler udløses ved konfigurerbare intervaller — 90, 60, 30 og 14 dage — dirigeret til det rigtige team frem for udsendt til alle.

Oversigten opdateres kontinuerligt frem for at kræve periodiske manuelle audits. Nye certifikater dukker op inden for minutter efter udstedelse. Ændringer til eksisterende certifikater — fornyede certifikater med forskellige udløbsdatoer eller SAN'er — spores automatisk. Billedet forbliver opdateret uden at nogen skal vedligeholde det manuelt.

Se platformen Book demo