Spring til hovedindhold

IT-sikkerhed

Hvad er TLS-certifikatets livscyklus?

Fra CSR og udstedelse til fornyelse og tilbagekaldelse: Se de 6 faser i TLS-certifikatets livscyklus, og hvorfor kortere levetider kræver automatisering.

Kort sagt

TLS-certifikatets livscyklus dækker alle faserne fra bestilling og udstedelse over installation og overvågning til fornyelse eller tilbagekaldelse.

Ethvert TLS-certifikat har en fast levetid, og styringen af den er blevet en driftskritisk disciplin: Et overset udløb betyder, at browsere blokerer jeres hjemmeside, at API-integrationer fejler, og at kunderne møder skræmmende sikkerhedsadvarsler. Presset stiger, fordi branchen gennem CA/Browser Forum gradvist skærer certifikaternes maksimale levetid ned, efter planen mod omkring 47 dage frem mod 2029. Det gør manuel fornyelse i regneark reelt uholdbar for de fleste organisationer.

De vigtigste pointer er, at I skal have et samlet overblik over alle certifikater, at overvågning skal advare i god tid før udløb, og at fornyelse bør automatiseres, fx via ACME-protokollen. MI Support IT har mangeårig specialisterfaring med PKI og hjælper danske virksomheder med at etablere styr på hele certifikatlivscyklussen, fra overblik og overvågning til fuld automatisering.

Tilbage til ordbogen

Hvad er TLS-certifikatets livscyklus?

TLS-certifikatets livscyklus er hele forløbet fra et certifikat bestilles, til det fornys eller tages ud af drift. Ethvert digitalt certifikat har en fast gyldighedsperiode, og derfor er certifikathåndtering aldrig en engangsopgave: Det er en cyklus, der gentager sig for hvert eneste certifikat i jeres PKI, fra hjemmesiden over API'er til interne systemer. Jo flere certifikater og jo kortere levetider, desto vigtigere bliver det at styre cyklussen systematisk i stedet for at reagere, når noget udløber.

De 6 faser i certifikatets livscyklus

  1. Bestilling (CSR): I genererer et nøglepar og en Certificate Signing Request med jeres oplysninger. Den private nøgle bliver hos jer.
  2. Udstedelse: En Certificate Authority validerer jeres kontrol over domænet og signerer certifikatet.
  3. Installation: Certifikatet og eventuelle mellemcertifikater installeres på webservere, load balancere og gateways.
  4. Overvågning: Udløbsdatoer, kædekomplethed og protokolopsætning overvåges løbende, så problemer fanges før brugerne gør det.
  5. Fornyelse: Et nyt certifikat udstedes og udrulles i god tid før udløb, helst automatisk.
  6. Tilbagekaldelse: Kompromitteres den private nøgle, eller udgår et system, tilbagekaldes certifikatet hos CA'en, så det ikke længere kan misbruges.

Hvorfor bliver certifikaternes levetid kortere?

Maksimal levetid for offentlige TLS-certifikater er skåret ned ad flere omgange, fra flere år til i dag under ét år. Branchen har via CA/Browser Forum vedtaget en plan om gradvist at reducere levetiden yderligere frem mod 2029, hvor loftet efter planen ender omkring 47 dage. Begrundelsen er sikkerhed: Kortere levetid begrænser vinduet for misbrug af lækkede nøgler og sikrer, at domænevalideringen er frisk. Konsekvensen for jer er kontant: Certifikater, der før skulle fornys en gang om året, skal snart fornys mange gange årligt. Center for Cybersikkerhed peger generelt på opdaterede og korrekt konfigurerede krypteringsløsninger som en grundsten i robust sikkerhed, og korte certifikatlevetider trækker i samme retning.

Manuel eller automatiseret fornyelse?

Manuel fornyelse fungerer, så længe I har få certifikater og god disciplin: en kalenderpåmindelse, en bestilling, en installation. Men med stigende antal certifikater og faldende levetider vokser både arbejdsbyrden og risikoen for det oversete udløb, der lægger hjemmesiden ned en fredag aften. Automatisering via ACME-protokollen, som blandt andet Let's Encrypt og flere kommercielle CA'er understøtter, fjerner den risiko: Certifikater bestilles, valideres og udrulles automatisk uden menneskelig indgriben. Vejen derhen kræver overblik først: en samlet beholdningsliste, overvågning af alt med udløbsdato og en plan for de systemer, der ikke kan automatiseres endnu. Hele den rejse, inklusive sikker nøgleopbevaring i et HSM, har vi beskrevet i e-bogen PKI og HSM i praksis.

Sådan hjælper MI Support IT

Vi har mangeårig specialisterfaring med PKI og certifikatlivscyklus i danske virksomheder: Vi skaffer overblikket, sætter overvågning op og automatiserer fornyelsen, så udløb aldrig bliver et driftstop. Læs mere under PKI Management, eller kontakt os for en gennemgang af jeres certifikater.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.