Hvad er TLS-certifikatets livscyklus?
TLS-certifikatets livscyklus er hele forløbet fra et certifikat bestilles, til det fornys eller tages ud af drift. Ethvert digitalt certifikat har en fast gyldighedsperiode, og derfor er certifikathåndtering aldrig en engangsopgave: Det er en cyklus, der gentager sig for hvert eneste certifikat i jeres PKI, fra hjemmesiden over API'er til interne systemer. Jo flere certifikater og jo kortere levetider, desto vigtigere bliver det at styre cyklussen systematisk i stedet for at reagere, når noget udløber.
De 6 faser i certifikatets livscyklus
- Bestilling (CSR): I genererer et nøglepar og en Certificate Signing Request med jeres oplysninger. Den private nøgle bliver hos jer.
- Udstedelse: En Certificate Authority validerer jeres kontrol over domænet og signerer certifikatet.
- Installation: Certifikatet og eventuelle mellemcertifikater installeres på webservere, load balancere og gateways.
- Overvågning: Udløbsdatoer, kædekomplethed og protokolopsætning overvåges løbende, så problemer fanges før brugerne gør det.
- Fornyelse: Et nyt certifikat udstedes og udrulles i god tid før udløb, helst automatisk.
- Tilbagekaldelse: Kompromitteres den private nøgle, eller udgår et system, tilbagekaldes certifikatet hos CA'en, så det ikke længere kan misbruges.
Hvorfor bliver certifikaternes levetid kortere?
Maksimal levetid for offentlige TLS-certifikater er skåret ned ad flere omgange, fra flere år til i dag under ét år. Branchen har via CA/Browser Forum vedtaget en plan om gradvist at reducere levetiden yderligere frem mod 2029, hvor loftet efter planen ender omkring 47 dage. Begrundelsen er sikkerhed: Kortere levetid begrænser vinduet for misbrug af lækkede nøgler og sikrer, at domænevalideringen er frisk. Konsekvensen for jer er kontant: Certifikater, der før skulle fornys en gang om året, skal snart fornys mange gange årligt. Center for Cybersikkerhed peger generelt på opdaterede og korrekt konfigurerede krypteringsløsninger som en grundsten i robust sikkerhed, og korte certifikatlevetider trækker i samme retning.
Manuel eller automatiseret fornyelse?
Manuel fornyelse fungerer, så længe I har få certifikater og god disciplin: en kalenderpåmindelse, en bestilling, en installation. Men med stigende antal certifikater og faldende levetider vokser både arbejdsbyrden og risikoen for det oversete udløb, der lægger hjemmesiden ned en fredag aften. Automatisering via ACME-protokollen, som blandt andet Let's Encrypt og flere kommercielle CA'er understøtter, fjerner den risiko: Certifikater bestilles, valideres og udrulles automatisk uden menneskelig indgriben. Vejen derhen kræver overblik først: en samlet beholdningsliste, overvågning af alt med udløbsdato og en plan for de systemer, der ikke kan automatiseres endnu. Hele den rejse, inklusive sikker nøgleopbevaring i et HSM, har vi beskrevet i e-bogen PKI og HSM i praksis.
Sådan hjælper MI Support IT
Vi har mangeårig specialisterfaring med PKI og certifikatlivscyklus i danske virksomheder: Vi skaffer overblikket, sætter overvågning op og automatiserer fornyelsen, så udløb aldrig bliver et driftstop. Læs mere under PKI Management, eller kontakt os for en gennemgang af jeres certifikater.