Che cos'è la gestione dei certificati?

La gestione dei certificati è il processo attraverso il quale un'organizzazione monitora e gestisce il ciclo di vita di tutti i certificati distribuiti in una rete.

Noti anche come certificati X.509, i certificati digitali dispongono di tutte le informazioni necessarie per autenticare l'identità di individui, siti Web, organizzazioni e altro ancora. I certificati digitali utilizzano una coppia di chiavi privata/pubblica unica che verifica le informazioni durante lo spostamento in una rete e che sono fondamentali per identificare e convalidare le comunicazioni digitali e le persone coinvolte nella comunicazione.

Sebbene la certificazione digitale possa sembrare eccessivamente complessa, l'utilizzo di un certificato digitale è in realtà un processo molto semplice.

  • Il certificato viene acquistato dall'autorità di certificazione (Certification Authority, CA), che fornisce una firma digitale.
  • Il certificato viene installato sull'endpoint, come un dispositivo, un server o un sito Web.
  • Il certificato funziona fino alla sua scadenza.
  • L'amministratore può revocare il certificato e acquistarne uno nuovo oppure rinnovare il certificato.

I certificati hanno un ciclo di vita ben definito: vengono emessi, utilizzati e ritirati. Di conseguenza, seguono un ciclo di vita specifico. Questo ciclo di vita è composto da otto fasi, tutte correlate a processi fondamentali con un sistema di gestione dei certificati. Sebbene alcune di queste fasi intermedie del ciclo possano verificarsi in un ordine diverso da quello presentato qui, ogni certificato deve passare attraverso ciascuna di queste fasi nel corso del suo ciclo di vita.

Grafico che mostra la gestione del ciclo di vita dei certificati.

Creazione

Quando è necessario un nuovo certificato, bisogna innanzitutto configurare le suite di crittografia e creare una chiave privata, in un processo noto come richiesta di firma del certificato (Certificate Signing Request, CSR). La CSR viene inviata, ricevuta e verificata, e l'autorità di certificazione procede all'emissione di un nuovo certificato.

Provisioning

Una volta acquisito, il certificato viene installato sugli endpoint, come server, applicazioni e dispositivi. Vengono stabilite catene di certificati e i certificati root e intermedi devono essere configurati correttamente per evitare confusione durante i possibili rinnovi.

Discovery

Durante la fase di discovery, viene eseguita la scansione dell'intera rete per identificare dove si trova ciascun certificato e se è stato distribuito correttamente. Una scansione di discovery aiuta a proteggere il sistema da vulnerabilità irrisolte e potenzialmente sfruttabili, identificando eventuali certificati sconosciuti che potrebbero essere presenti.

Inventario

Il rinnovo e la revoca dei certificati sono più semplici se sono organizzati in un inventario centrale. Inoltre, è più semplice quando i certificati vengono gestiti in base alla struttura del team e in base a chi li utilizza.

Monitoraggio

La creazione di rapporti e il monitoraggio sono importanti per due motivi: innanzitutto, la creazione di rapporti fornisce agli amministratori informazioni sui certificati e sul loro stato, fornendo al contempo risposte rapide a domande importanti. Ad esempio, quali certificati devono essere rinnovati? Quanti sono stati emessi? Quali devono essere sostituiti? In secondo luogo, garantisce che il sistema non presenti punti deboli. In questo modo gli amministratori possono anticipare le scadenze delle certificazioni e porvi rimedio, evitando proattivamente le interruzioni del processo.

Rinnovo

I certificati hanno una durata limitata e devono essere rinnovati da una CA per rimanere validi. Il processo può essere automatizzato tramite strumenti di gestione dei certificati che inviano automaticamente i certificati alla CA per il rinnovo.

Revoca

In certi casi un certificato può dover essere revocato. Tali motivi sono: una funzione hash si è deprezzata o un amministratore desidera un altro tipo di certificato. Un certificato revocato non è valido e ciò è importante per garantire che un vecchio certificato non venga utilizzato da terze parti per scopi malevoli.

L'infrastruttura di chiave pubblica (Public Key Infrastructure, PKI) è uno dei principali modi per comprendere la gestione dei certificati. La PKI è costituita da ruoli, policy, persone, hardware, software, e sistemi firmware necessari per connessioni sicure su reti pubbliche e private.

SSL/TLS

Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono i tipi più comuni di PKI. Entrambi utilizzano un sistema di crittografia ibrido che sfrutta entrambi i tipi di crittografia. Il certificato di un server ha una coppia pubblica e privata asimmetrica e la chiave di sessione creata dal server è simmetrica.

Autorità di certificazione

L'autorità di certificazione è una terza parte che fornisce chiavi e certificati per l'utente finale. Gestisce il ciclo di vita, inclusi la generazione, la scadenza, la revoca e l'aggiornamento.

CA root

Questo è il livello più alto della gerarchia di CA. Le CA root vengono mantenute offline in modo sicuro. Affinché una certificazione di entità finale sia attendibile, la CA root deve essere incorporata nel sistema operativo, sistema, browser o in qualsiasi punto finale stia convalidando il certificato.

CA subordinata

Lo scopo principale di una CA subordinata è autorizzare e definire i tipi di certificati richiesti. Le CA si trovano tra le certificazioni root e di entità finale.

Certificati di entità finale

Si tratta di certificati installati su computer, dispositivi, server e hardware di crittografia.

Applicazione client

L'applicazione client si riferisce al software dell'utente finale che richiede e utilizza certificati attività elettroniche. Una PKI gestita ha inoltre bisogno di servizi che operino con altri componenti, che forniscano servizi che consentano applicazioni di commercio elettronico. Tali servizi includono l'introduzione del dispositivo, la firma del codice, la gestione degli accessi, i server di posta elettronica S/MIME, firme elettroniche legalmente vincolanti, e la registrazione automatica.

Archivio dei certificati

Fornisce un meccanismo scalabile per archiviare e distribuire certificati, elenchi di revoca dei certificati e certificati incrociati a utenti finali PKI. Questi componenti devono essere reattivi per via della loro posizione centrale nella PKI.

Per funzionare, i processi aziendali devono sfruttare i sistemi digitali, soprattutto perché sempre più dispositivi sono connessi, e ogni sistema connesso necessita di un certificato per garantire la sicurezza. Gli amministratori devono essere in grado di garantire l'assenza di certificati indesiderati e la gestione manuale dei processi spesso non è possibile. I sistemi di gestione specializzati consentono di tenere traccia dei certificati, segnalare quando i certificati sono scaduti o prossimi alla scadenza, identificare i certificati sconosciuti e promuovere comunicazioni più sicure tra le reti di un'organizzazione.

Inoltre, alcune delle violazioni della sicurezza più dannose della storia sono state provocate o ulteriormente aggravate da certificati scaduti. Ad esempio, una violazione del 2017 dell'agenzia di rendicontazione del credito Equifax non è stata rilevata per quasi tre mesi, perché un certificato scaduto impediva un'adeguata ispezione del traffico di rete. Ciò ha compromesso i dati personali di 147 milioni di persone. Ed Equifax non è la sola: LinkedIn, Microsoft, Ericsson e, più di recente, Google Voice, hanno tutti sofferto per il mancato aggiornamento dei certificati.

I certificati scaduti possono causare interruzioni impreviste del sistema o aprire falle nella sicurezza digitale attraverso le quali i responsabili delle minacce possono accedere alla rete. Ciò può facilmente portare a un servizio interrotto, danni alla reputazione, esposizione di dati sensibili relativi all'azienda e alla clientela, nonché a pesanti multe e sanzioni per le aziende che lasciano scadere i propri certificati.

Rinnovare i certificati prima della scadenza è assolutamente essenziale. Ma con migliaia di certificati in essere, le aziende devono affrontare il compito pressoché insormontabile di aggiornare e rinnovare i certificati con più CA rispettando le finestre di manutenzione pre-pianificate per evitare di interrompere i servizi vitali. Forse ancora più problematico è il fatto che i certificati stessi non presentano un contesto vitale per aiutare le organizzazioni a stabilire le priorità dei certificati critici, identificare i proprietari dei servizi o persino determinare quali certificati devono essere rinnovati.

Per garantire il rinnovo dei certificati in tempo, le organizzazioni hanno bisogno di un unico inventario dei certificati centralizzato e facile da usare. ServiceNow fa sì che ciò diventi una realtà: sfruttando la configurazione e i meccanismi di visibilità di ServiceNow esistenti per identificare i certificati, le aziende possono mantenere un registro chiaro di tutti i certificati, con uno sforzo minimo.

Quindi, incorporando l'automazione avanzata nei workflow ottimizzati, le organizzazioni possono ottimizzare il processo di rinnovo, ottenere automaticamente approvazioni, firmare attività e gestire efficacemente eventuali certificati scaduti. Inoltre, la dashboard della funzionalità di gestione dei certificati di ServiceNow fornisce un riepilogo completo e immediato del quadro completo del certificato.

Con ServiceNow puoi dare ai tuoi certificati essenziali l'attenzione che meritano ed evitare i pericoli, i danni alla reputazione e le sanzioni che derivano dal mancato rinnovo di tali certificati.

Funzionalità che crescono con il tuo business

Anticipa i problemi prima che presentino con ServiceNow.

Contatti
Demo