Manuel Pavon da Digicert fala ao Crypto ID sobre os riscos do gerenciamento de certificados TLS de forma manual
4 de outubro de 2021Entrevistamos Manuel Pavon, Gerente sênior de contas de canal de segurança de sites da DigiCert, na América Latina sobre o recente estudo “Estado da Automação 2021 da Digicert publicado pelo Crypto ID em primeira mão no Brasil na segunda quinzena de setembro de 2021.
O Estudo aborda os problemas causados pelo gerenciamento manual de certificados TLS – Transport Layer Security, o protocolo que substituiu o SSL – Secure Sockets Layer.
Gerenciar certificados digitais em planilhas pode levar a falhas que trazem consequências que vão desde a paralização de serviços a abertura de brechar para ataques cibernéticos o que trazem como resultado final a perda de receita ou sanções provenientes das leis de proteção de dados, no caso do Brasil LGPD.
Cerca de ⅔ enfrentaram falhas causadas pela expiração inesperada de certificados, e 25% passaram por cinco a seis falhas como essas apenas nos últimos seis meses. Devido a problemas como esses, existe um forte interesse na adoção da automação da PKI.
Crypto ID: Como você vê a adoção da automação de Certificados Digitais para Servidores Web em todo o mundo?
Manoel Pavon: De acordo com a pesquisa da DigiCert “Estado da Automação 2021”, uma empresa típica gerencia mais de 50.000 certificados de PKI de confiança pública e privada.
Além disso, os períodos de validade para certificados TLS públicos caíram de três para um ano desde 2018. Como resultado, as empresas estão encontrando cada vez mais dificuldade para gerenciar manualmente os fluxos de trabalho de certificados digitais. Eles estão procurando por automação de certificados, mas precisam de garantias sobre como fazê-lo e uma compreensão dos custos de longo prazo e dos benefícios de segurança.
Devido a esse crescimento, as empresas têm enfrentado dificuldades para gerenciar a carga de trabalho. A pesquisa de automação da DigiCert mostra que 2/3 das empresas entrevistadas enfrentaram paralisações causadas pela expiração inesperada do certificado. 1/4 das empresas experimentou esse tipo de problema cinco ou seis vezes apenas nos últimos seis meses. A maioria das empresas – 91% – está considerando a automação de PKI e um 1/4 está implementando ou já implementou uma solução.
Crypto ID: Quais são as maiores dificuldades que as empresas enfrentam hoje quando se trata de PKI?
Manoel Pavon: Além do tempo gasto no gerenciamento de certificados, há também o problema da falta de visibilidade. Cerca de 37% das empresas usam mais de três departamentos para gerenciar certificados, o que causa confusão. A empresa típica afirma que até 1.200 dos certificados não são realmente gerenciados; quase metade das empresas, ou 47%, dizem que muitas vezes descobrem certificados “intrusivos” – implementados sem conhecimento ou gerenciamento de TI.
Os desafios para implementar a automação citados pelas empresas incluem o alto custo da automação, complexidade, problemas de conformidade e resistência da equipe e do conselho às mudanças.
Crypto ID: Como as empresas podem superar esses desafios?
Manoel Pavon: Existem altas sobrecargas para o gerenciamento de certificados, pois cada uma precisa ser monitorado quanto à expiração, solicitado, criado e implantado. Automatizar para reduzir o risco e o desgaste da engenharia interna faz muito sentido para os negócios. As empresas buscam melhorar sua segurança e conformidade, ganhar agilidade, ser mais produtivas e reduzir o tempo de inatividade e os custos.
Com a automação de PKI, é possível evitar o provisionamento lento de novos certificados, configuração incorreta de certificados, sobrecarga de equipe, excesso de certificados intrusivos, expiração de certificado ignorada e atraso ou falha na revogação de certificados quando necessário.
A DigiCert recomenda que as empresas comecem a abordar a automação de seus processos de gerenciamento de certificados, incluindo seus fluxos de trabalho de negócios, para garantir que continuem a aderir às melhores práticas em implantações de PKI.
Crypto ID: Como você vê a questão do amadurecimento das empresas em relação automação e PKI em um futuro próximo?
Manoel Pavon: Para ajudá-los a aderir às práticas recomendadas de implantação de PKI em um futuro próximo, a DigiCert incentiva as organizações a:
– Identificar e criar um inventário de todo o cenário de certificados, desde TLS – Transport Layer Security, até assinatura de código, certificados de cliente e muito mais.
– Corrigir chaves e certificados que não estejam em conformidade com a política corporativa.
– Proteger com as melhores práticas para emissão e revogação. Padronizar e automatizar a inscrição, emissão e renovação.
Com relação aos fluxos de trabalho de certificados, a DigiCert recomenda que as organizações tratem de fluxos de trabalho de certificados não gerenciados ou manuais, como assinatura de código, assinatura de documentos, certificados de e-mail ou outras soluções de identidade e acesso, com software que centraliza a visibilidade e controle e automatiza os fluxos de trabalho.
Mais uma ocorrência envolvendo Certificados SSL Let’s Encrypt causam problemas de acesso aos usuários
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
ASSINATURA ELETRÔNICA E DIGITAL
O Crypto ID artigos e notícias sobre aspectos técnicos e regulatórios sobre Assinatura Eletrônica e Digital. Acesse a nossas colunas especiais sobre Assinatura Digital e Eletrônica e Documentos Eletrônicos.