PKI Problèmes : 3 défis courants dans la gestion de PKI et des certificats

Si vous vivez dans le monde de l'infrastructure à clé publique (PKI), vous êtes une espèce rare.

Malgré son importance dans la stratégie IAM (à savoir, sécuriser les connexions de machine à machine avec des identités uniques), PKI est souvent mal compris. Quelques rares entreprises disposent d'une expertise interne, mais pour la plupart, il s'agit plutôt d'une "patate chaude" que l'on se refile à quiconque est assez courageux pour s'en charger. Alors, vers qui se tournent ces "administrateurs dePKI " pour obtenir des conseils ?

Vous l'avez deviné, c'est l'Internet - et il s'avère que Reddit est un point névralgique pour les questions liées à PKI. Dans ce blog, nous explorons les profondeurs de Reddit pour découvrir quelques "histoires de terrain" et donner des conseils pratiques sur trois erreurs courantes que nous constatons dans la gestion de PKI et des certificats, et sur la manière de les éviter.

PKI ont une longue durée de vie, de 15 à 20 ans en général. Le problème est que les environnements PKI mis en place il y a des années n'ont tout simplement pas été conçus en tenant compte de l'infrastructure informatique moderne.

Les services de certificats Active Directory ( Microsoft CA) étaient peut-être un choix facile à l'époque, mais le passage à des environnements multi-OS et multi-cloud exige de PKI plus qu'une simple inscription automatique. Microsoft CA peut être étiré, mais seulement jusqu'à un certain point avant qu'il ne devienne un obstacle opérationnel.

Un autre problème est que les déploiements de PKI restent généralement en place longtemps après que leur créateur a changé d'entreprise ou de rôle au sein de l'entreprise. Même si elles sont conçues et architecturées correctement, il n'est que trop facile de laisser les configurations s'écarter de la politique. Une fois que cela se produit, il n'y a pas de moyen facile d'inverser le cours des choses.

"PKI est l'une de ces choses faciles à faire, mais tout aussi faciles à mal faire. Et si l'on ne s'aperçoit pas très tôt qu'il y a une erreur, c'est une véritable plaie à réparer"

"Yup, notre CA a été détruit il y a quelques semaines et nous sommes en train de le réparer. C'est amusant."

Leçon apprise : Le fait est que l'exploitation de PKI est un marathon, pas un sprint. Il ne s'agit pas seulement d'autorités de certification et de certificats. Considérez les besoins de vos différentes équipes et applications et déterminez les capacités, les processus et les personnes dont vous aurez besoin pour les prendre en charge.

Les progrès réalisés dans les protocoles normalisés (par exemple ACME, EST et CMP), l'évolutivité de l'AC et les alternatives basées sur SaaS PKI peuvent aider à résoudre de nombreux problèmes liés à la mise en place d'un site PKI adéquat et à sa maintenance au fur et à mesure que les personnes entrent et sortent de l'entreprise.

Mettre de l'ordre dans votre site PKI est une chose, mais comment garder la trace de tous les certificats que vous avez délivrés ? Qu'en est-il des certificats délivrés par d'autres équipes de l'organisation ?

Une combinaison de feuilles de calcul Excel, de rappels de calendrier ou de scripts PowerShell est une approche courante, mais il y a toujours un certificat qui vous échappe. Où est-il installé ? Qui en est le propriétaire ? Est-il encore dans l'entreprise ?

Il s'agit alors d'un jeu de "whack-a-mole" sans fin. Quel que soit le nombre d'outils de contrôle ou de lignes et de colonnes que vous élaborez, les certificats expirés sortent inopinément du bois. Alors que vous pensiez maîtriser la situation, elle se reproduit. Une panne frappe votre environnement de production. Un autre certificat non suivi a expiré, et c'est à vous de le rechercher et de le réparer.

"G@&%$!# CERTIFICATS EXPIRANT AAAAAAAARRRGGHHH Sérieusement, pourquoi ne peuvent-ils pas ne jamais expirer. Chaque chose semble avoir besoin d'un millier de ces certificats et ils expirent toujours avant qu'on puisse les attraper."

Leçon apprise : Ce ne sont pas les certificats que vous connaissez qui vous causent des maux de tête. C'est le certificat que vous n'avez pas vu. Vous savez... ce certificat qu'un administrateur a installé sur un équilibreur de charge l'année dernière. Vous savez où il se trouve, n'est-ce pas ?

Pour obtenir un inventaire complet et précis, vous devez avoir une visibilité totale sur (1) les bases de données de l'autorité de certification, (2) les points d'extrémité SSL/TLS sur le réseau, et (3) les magasins de clés et de certificats. Si vous n'avez pas de visibilité depuis l'autorité de certification jusqu'au magasin de certificats, il est très difficile de détecter des changements inattendus.

Même si vous disposez d'experts sur PKI , les utilisateurs de vos certificats ne sont pas des experts. Ils commettent des erreurs et ignorent les politiques. Les ingénieurs et les développeurs sont également très occupés, mais ils se concentrent sur la fourniture de nouvelles fonctionnalités et sur le fonctionnement de l'entreprise, et non sur la gestion des certificats.

Les gens sont, pour la plupart, tout à fait terribles pour tout ce qu'ils n'ont à faire qu'une fois dans la lune, comme l'installation d'un certificat. Ils peuvent l'installer une fois, jurer qu'ils l'ont compris, peut-être même le documenter, puis passer à autre chose.

Un an plus tard, ils oublient soudain comment ils ont procédé. Ainsi, lorsqu'ils sont informés de l'expiration prochaine d'un certificat, ils le renouvellent et l'installent sur un serveur. C'est fait, n'est-ce pas ? Quelques jours plus tard, une nouvelle panne survient. Il s'avère qu'ils ont oublié de lier le certificat à la bonne application.

"Je ne voudrais jamais travailler avec des certificats au point d'être appelé le "gars des certificats". Chaque année, lorsque je dois en renouveler quelques-uns, j'ai envie de prendre une fourchette et de m'arracher les yeux."

"J'ADORE renouveler les certificats. Personne ne l'a jamais dit".

Leçon apprise : Si vous êtes responsable de PKI, suivre les demandes de certificats peut sembler impossible. De leur côté, les utilisateurs de certificats sont souvent frustrés par les processus manuels de renouvellement et d'installation des certificats sur leurs machines ou applications.

Posez la fourchette. L'utilisation d'outils d'automatisation, notamment de nouveaux protocoles standard, d'outils open-source et de solutions d'automatisation du cycle de vie des certificats, peut réduire le nombre d'heures consacrées aux tâches manuelles liées aux certificats et le risque d'erreur humaine qui en découle.

Si vous rencontrez un ou plusieurs de ces "problèmesPKI ", vous n'êtes pas seul. C'est pourquoi nous avons rédigé un livre électronique sur les "7 raisons pour lesquelles les équipes échouent dans la gestion de PKI et des certificats".

À l'intérieur, nous mettons en lumière les hauts et les bas d'une journée dans la vie d'un "PKI admin " et partageons les leçons de ceux qui ont pris Reddit pour se défouler de toutes leurs frustrations. Nous espérons que leurs propos vous apporteront autant de plaisir que d'informations.