De fleste organisationer er i dag afhængige af certifikater i en eller anden form. De mest kendte certifikater er TLS/SSL-certifikater, krypterings- og signeringscertifikater.
Et TLS/SSL-certifikat er et digitalt certifikat, der muliggør krypteret forbindelse mellem sender og modtager, et godt eksempel på dette er når du besøger en hjemmeside, som bruger certifikater til at kryptere trafikken mellem web-serveren og din browser.
Vi ser desværre mange PKI-løsninger som er implementeret som en next-next-next-installation. Løsningen vil formentlig virke rent teknisk, men sikkerhedsmæssigt vil det ofte svare til at købe et pengeskab og lægge nøglen ovenpå.
For at sikre integriteten af jeres PKI-infrastruktur er det vigtigt, at der er styr på arkitekturen, sikkerheden og processerne omkring PKI-infrastrukturen.
Eksempler på dette kunne være:
Certifikater har en kort levetid på typisk 1-2 år, det er vigtigt at have overblik over udløb og metadata for de certifikater der bliver udstedt, så fornyelse kan ske rettidigt og kontrolleret.
Hvis der ikke er kontrol over livscyklus, kan det i værste fald ende i et major incident.
Certifikater handler om integritet og at man kan stole på at afsenderen, det gør man ved at sikre, at den private nøgle af certifikatet ikke er blevet misbrugt eller kompromitteret. En HSM hjælper med at sikre sikkerheden omkring opbevaring af den private nøgle.
Bruger I codesigning-certifikater i Jeres virksomhed, er det ekstra vigtigt at have et overblik over hvor og hvem, der har adgang til at signere software. Er der ikke styr på dette, er der fare for at andre kan misbruge jeres nøgler til at signere skadeligt software i Jeres navn.
Benytter I kryptering i jeres virksomhed, er det vigtigt at sikre, at I også kan genskabe data hvis de-krypteringsnøgler forsvinder. Er der ikke styr på denne del kan det i værste fald betyde tab af data.
Vi ser flere løsninger hvor nedetid og genetableringsprocedurer er ikke eksisterende eller decideret mangelfulde. Testes PKI-løsningen ikke risikerer I at stå med en løsning, som ikke kan genetableres.
Når først PKI-infrastrukturen er sat op, er det svært at ændre konfigurationen, så det er vigtigt at man starter rigtigt. Er jeres løsning startet skævt op kan vi som regel hjælpe med at rette op således at sikkerheden og integriteten bevares.