“Säker hantering av SSL-certifikat minimerar risken för affärskritiska konsekvenser”

SSL/HTTPS skolan 3 av 3

Cybersäkerhet , Teknik , Tjänster

Detta är det sista och avslutande inlägget i vår satsning på att skapa medvetenhet och kunskap kring SSL-certifikat och HTTPS.

I det första inlägget diskuterade vi grundläggande SSL/HTTPS. Vår slutsats var att användandet av SSL-certifikat gått från att vara ett undantag till att bli en regel. Läs det här.

I det andra inlägget diskuterade vi de olika typer av SSL-certifikat som finns och varför dess skillnader faktiskt är relevanta. Vår slutsats var att ju högre nivå du väljer på ditt cert, ju mer värde adderar det till ditt varumärke. Läs det här.

I denna del kommer vi avsluta denna satsning med att diskutera den kanske minst diskuterade aspekten av SSL-certifikat; hur man säkrar upp hanteringen av dem för att undvika potentiellt affärskritiska konsekvenser.

 

Risker

SSL-certifikat är vanligtvis registrerade:

  • Vid olika tillfällen
  • På olika löptider
  • Hos olika utfärdare
  • Av olika personer inom organisationen

Detta gör att hanteringen av certifikat väldigt svår, även inom små organisationer. För att inte nämna hur komplext det blir när det kommer till stora organisationer.

De två enskilt största riskerna associerade med hantering av SSL-certifikat är:

  • Felaktig implementation
    Felaktig implementation kan faktiskt vara värre än att inte ha ett SSL-certifikat alls.
  • Otillräcklig certifikatshantering
    Otillräcklig hantering av SSL-certifikat kan ha affärskritiska konsekvenser. Allt från externa effekter såsom onåbara hemsidor och skadat renommé, till interna effekter som arbetsoförmögna medarbetare och/eller läckage av känslig information.

 

Vad som händer om/när ett certifikat löper ut

När ett certifikat inte förnyas, är inte krypteringen längre säkrad och därför inte längre säker.

SSL-certifikat löper en förutbestämd tid, från ett till två år. En vanlig missuppfattning gällande SSL-certifikat är att de “förnyas”. I praktiken behöver ett SSL-certifikat bytas ut med ett nytt. Men det finns även situationer då ett certifikat måste bytas ut långt före dess utlöpsdatum.

Det mest uppenbara användningsområdet för ett SSL-certifikat är den tidigare nämnda migreringen från HTTP till HTTPS på en hemsida, som kan identifieras med en idag välkända hänglåsikonen i webbläsarens adressfält. Effekten av att icke-fungerande SSL-certifikat för en hemsida är smärtsamt uppenbar när det inträffar. Hela länkstrukturen på hemsidan är baserad på HTTPS, inte HTTP. När ett SSL-certifikat inte byts ut när det löper ut blir hela hemsidan onåbar för besökarna då protokollet inte längre stöds.

Men många glömmer att SSL-certifikat inte bara används för att kryptera trafik mellan en hemsida och en besökare. SSL-certifikat används faktiskt i en mängd olika sammanhang, för olika syften. Exempelvis för VPN-anslutningar, molnlösningar, server till serverkommunikation med mera. Att misslyckas med att hanteras sina SSL-certifikat kan påverka ett helt bolags infrastruktur.

Ett aktuellt exempel på detta är de omfattande driftstörningar som drabbade Oculus Rift i mars 2018 som orsakades av ett SSL-certifikat som löpt ut.[1]

Denna typ av driftstörningar kan i allra högsta grad påverka kundlojalitet och är definitivt inte ball när man ska köra VR!

 

”Best procedure” för hantering av SSL-certifikat

Vårt mål är att säkerställa samma säkra hantering av SSL-certifikat som vi gör med domännamn och varumärken. För maximalt skydd mot att certifikat fallerar på grund av bristfällig hantering är vår rekommendation alltid att konsolidera era certifikat.

Låt vårt expertteam hjälpa er med en plan för en säkrare certifikatshantering med följande handlingsgång:

  1. Analysen
    I samråd med er analyserar vi nuläget för era certifikat. Vilka certifikat finns det? Från vilka utfärdare? Med mera. Analysen sammanfattas i ett dokument tillsammans med en rekommenderad handlingsplan för optimering av den rådande certifikatshanteringen.
  2. Skapa kontroll
    Baserat på handlingsplanen möjliggör vi för kunden att få alla certifikat under kontroll, med slutmålet att alla certifikat ska hanteras av Ports Group för total kontroll och säkerket (se Konsolidering).
  3. Löpande certifikat partnerskap med portföljhantering
    Ports Group är en guldpartner till Digicert, Symantec, Geotrust och Thawte – vi har därför möjligheten att tillhandahålla en smidig och säker certifikatshantering, med en dedikerad kontaktperson och säker förvaltning.

 

Vill du kolla om ni har SSL?

Vi har nyligen lanserat ett gratis analysverktyg vid namn besafe.online. Verktyget kontrollerar först och främst om en sajt har SSL, men ger även ytterligare information relaterad till en sajts säkerhet. Exempelvis om den har DNSSEC och/eller DMARC implementerat.

Kicka här för att komma till verktyget:

 

Källor:

[1] https://www.theverge.com/2018/3/7/17092084/oculus-rift-headsets-stopped-working-expired-certificate

Kontakta oss idag och få veta mer om hur vi kan hjälpa er

contact@portsgroup.com

+46 31 720 20 00

Kontakta oss