Что такое управление сертификатами SSL и как его реализовать?

По мере приближения к 100%-му внедрению HTTPS владельцам веб-сайтов приходится вручную управлять всеми своими сертификатами TLS/SSL и обеспечивать их поддержку. В случае компаний чем больше используемых сертификатов TLS/SSL, тем сложнее эффективно управлять жизненным циклом сертификатов в масштабе. Этот процесс может быстро стать весьма дорогим, а ручные процессы подвержены ошибкам. Поставщик сертификатов TLS/SSL может облегчить это бремя и поддерживать компании на протяжении всего жизненного цикла сертификатов.

Протокол HTTP (протокол передачи гипертекста) используется для передачи данных между веб-сайтом и веб-браузером в открытом виде. Запросы HTTPS и ответы шифруются с помощью сертификатов TLS (SSL). Протокол HTTPS используется в различных приложениях, например в почтовых веб-приложениях, при входе в учетные записи и в электронной коммерции.

Подробнее о протоколе HTTPS.

Для проверки подлинности веб-сайта и шифрования HTTP-трафика необходим цифровой сертификат (TLS/SSL). Протокол SSL (уровень защищенных сокетов) создает зашифрованный канал связи для потоков данных между сервером и клиентом. Чтобы обеспечить безопасность и конфиденциальность информации о клиентах, а также гарантировать защищенную передачу данных, каждый владелец веб-сайта должен иметь сертификат TLS/SSL. Сертификаты SSL были созданы в середине 1990-х годов. Впоследствии появились уязвимости в сфере безопасности, которые привели к эволюции лучших протоколов. Протокол TLS (безопасность на транспортном уровне), версия 1.3, является самым актуальным протоколом, но поскольку владельцы веб-сайтов привыкли к термину SSL, названия SSL и TLS используются взаимозаменяемо или вместе, например сертификаты TLS/SSL.

Подробнее о сертификатах TLS/SSL.

Все сертификаты TLS/SSL, которые развертываются в сети, должны контролироваться и управляться на протяжении всего их жизненного цикла (создание, развертывание, продление, истечение срока действия и использование); именно на этом этапе и происходит управление сертификатами TLS/SSL. ИТ-администраторы должны иметь возможности для управления сертификатами TLS/SSL, которые обеспечивают полный контроль и видимость сертификатов TLS/SSL, чтобы оставаться на передовых позициях в сфере безопасности и предотвращать проблемы соблюдения требований, сбои и нарушения. Одним из наиболее важных аспектов управления сертификатами TLS/SSL является мониторинг истечения срока действия. Вы как владелец веб-сайта должны заранее продлевать сертификаты и избегать непреднамеренного истечения срока их действия. Представьте, что вы как владелец веб-сайта забыли продлить свои сертификаты, а теперь веб-сайт не работает, недоступен, и деньги теряются каждую секунду простоя. Посетители веб-сайта получают сообщение о том, что подключение больше не является приватным, так как истек срок действия сертификата TLS/SSL. Более того, это также открывает путь для утечек данных и других угроз, скрывающихся в Интернете. По мере увеличения объема сертификатов TLS/SSL, а также повышения частоты этапов жизненного цикла с сокращением срока действия сертификатов это может стать непосильным для администраторов TLS/SSL.

Мониторинг и управление сертификатами TLS/SSL вручную не поддается масштабированию в современной среде. Владельцам веб-сайтов нужны инструменты и возможности, которые позволяют непрерывно проводить тесты для проверки правильности настройки и работы сертификатов TLS/SSL, а также для исключения любых упущений в сфере безопасности благодаря надежному мониторингу истечения срока действия и оповещениям. Отсутствие постоянных обновлений для сертификатов TLS/SSL обходится весьма дорого.

В зависимости от необходимого компании уровня проверки существуют шесть различных типов сертификатов TLS/SSL.

• Сертификаты расширенной проверки (EV TLS/SSL).
• Сертификаты проверки организации (OV TLS/SSL).
• Сертификаты проверки домена (DV TLS/SSL).
• Сертификаты Wildcard TLS/SSL.
• Сертификаты Multi-Domain TLS/SSL (MDC) и Unified Communications (UCC).

Нам стало известно, что владельцам веб-сайтов довольно сложно самостоятельно управлять своими сертификатами TLS/SSL. Но что происходит, когда у них есть несколько сертификатов TLS/SSL в различных доменах или несколько сертификатов TLS/SSL для одного домена? Например, в случае попытки заменить сертификат TLS/SSL с истекающим сроком действия на новый, но при этом стремиться не оставить веб-сайт без защиты. Общее правило заключается в том, что сертификаты должны быть вручную привязаны к конкретному порту, например к порту 443 (https). На сервере может быть установлено несколько сертификатов, но единовременно может использоваться только один сертификат (один порт = один сертификат).

Чтобы оставаться в курсе происходящего в рамках жизненного цикла сертификатов TLS/SSL (приобретение, развертывание, продление, истечение срока действия и использование), необходима возможность управления сертификатами TLS/SSL. Управление сертификатами TLS/SSL не должно быть обузой, если у вас есть подходящий партнер по управлению сертификатами TLS/SSL вне зависимости от того, управляете ли вы несколькими сертификатами TLS/SSL либо только одним.

Вам как владельцу веб-сайта важно выбрать поставщика услуг по управлению сертификатами TLS/SSL, который соответствует вашим деловым и операционным потребностям. Цена — это не единственный фактор, хоть и важный, который следует учитывать, когда дело касается вашей кибербезопасности. Компания Entrust определила три аспекта, которые оказывают значительное влияние и которые следует учитывать при поиске поставщика услуг по управлению сертификатами TLS/SSL. Когда ИТ-специалисты оценивают поставщиков услуг по управлению сертификатами, на их решение больше всего влияют приведенные далее критерии.

1. Долговечность поставщика сертификатов TLS/SSL. Обращайтесь к общедоступным доверенным центрам сертификации, которые выпускают сертификаты TLS/SSL и управляют ими, а также имеют многолетнюю историю работы на рынке в большинстве операционных систем, браузеров, устройств и приложений. Крепко укоренившаяся повсеместность поставщика услуг по управлению сертификатами может повысить доверие к вашей компании и обеспечить высокий уровень надежности для пользователей.
2. Поддержка. При поиске поставщика услуг по управлению сертификатами TLS/SSL важно знать, какую поддержку он может предложить. Предоставляет ли поставщик поддержку в вашем часовом поясе и на вашем языке? Предлагает ли поставщик многоуровневые модели поддержки с возможностью обновления до круглосуточной поддержки? Какие каналы использует поставщик для общения с клиентами и какие соглашения об уровне обслуживания он предлагает для различных уровней серьезности?
3. Общий пакет. При оценке поставщика услуг по управлению сертификатами TLS/SSL полезно изучить различные категории продуктов и услуг, которые он предлагает. Работа с одним поставщиком услуг в сфере кибербезопасности, который может предложить несколько решений, может быть более рентабельной в долгосрочной перспективе, ведущей к масштабной экономии. Некоторые поставщики сертификатов TLS/SSL предлагают дополнительные услуги и категории продуктов, которые могут помочь вам в других сферах кибербезопасности, включая проверку личности, выпуск удостоверений личности, идентификацию пользователя или машины, цифровую подпись, выпуск платежных карт, решение для цифровых карт, безопасность баз данных и безопасность многооблачных сред.