( ricsip | 2020. 04. 15., sze – 12:01 )

Egy ilyen rutin művelet (a cert csere/megújítás 2020 környékén már elég rutin tevékenységnek számít) sikerességén vagy nem-sikerességén le lehet mérni az adott cég IT fejlettségi szintjét.

Egy cert, főleg ha az nem csak azért van a cég weboldalán mert "httpS nélkül a gugli  hátrasorol minket a találatok között", hanem tényleges funkciója is van, pl. mert pénzügyi, levelezési vagy szimplán érzékeny adatokat véd, akkor az a kritikus infrastruktúra része. Mivel ha rossz kezekbe kerül, a támadó potenciálisan meg tudja személyesíteni az áldozatot más jellegű támadásban is. Éppen ezért, pl. az OTP esetében kifejezetten nem lenne szabad félvállról venni egy cert-el kapcsolatos eseményt. Elég ha egy 5-10 percre van valami gikszer, egy célzott támadáshoz tökéletesen elég lehet ennyi. Aztán mintha mi sem történt volna, már megy tovább az OTP webszervere, a töbségnek fel sem tűnik h. volt ott valami pár perc erejéig.

Példák certificate-el kapcsolatos hanyagságra, tetszőleges magyar kkv v. itthoni multinál (a példákat az élet szülte)

1. szint: teljesen szarunk a tanúsítványunkra, hagyjuk lejárni mint a fene. Jött ugyan lejáratra figyelmeztető üzenet (még időben, és több is!) a cert kiadótól, de szart rá mindenki. Aztán mikor másnap elkezdenek jönni az alarmok h. a service-k leálltak, nem tudunk levelet küldeni és fogadni, akkor lóhalálában rendelik az új certet. Ami 1 év múlva ugyanígy lejár, ugyanúgy kezdődik megint a kapokodás, és ez így megy tovább míg a világ világ. Mivel a 2 év után már az 1 éves cert élettartam is lassan veszélybe kerül az ipar legnagyobb szereplőinek közbenjárása miatt, ideje lesz a rendszergazdának, v. IT üzemeltetésnek legrosszabb esetben papír alapú határidőnaplót vezetni, amibe pennával bejegyzetelik mikor melyik cert jár le, és előtte 1 héttel érdemes volna hozzákezdeni a megújítás előkészítéséhez.

2. szint: van cert, foglalkoznánk is vele, de felkészületlenül: a cert lejáratra való figyelmeztető emailt még időben megkapjuk, csak éppen az 1 dedikált ember, a Józsi mailbox-ba jut. Ahelyett h. lenne rá 1 disztrib csoport, amiben legalább 2-3 ember benne van. Szóval ha Józsi dögrováson van, és nem olvas emailt, akkor se áll le minden, mert lejárt a cert.

3. szint: letsencrypt-et (is) használunk, automatizálva van a megújítás. Ez már egy egész jó szint, itt arra kell figyelni, hogy valami monitorozás azért legyen a letsencrypt szkripteken, hogy azonnal kiderüljön ha valamelyik megújítás nem sikerült, és legyen elég idő a korrigálásra. Természetesen nem mindenhova jó a LE, de ez már jelzi h. a cég IT szempontból nem a középkorban jár (főleg ha az előzőleg leírt monitoring-ot alkalmazzák a LE-re is).

4. szint: dedikált IT a cert-re, figyelik a lejáratot, proaktívan monitorozva, a risztások csoportoknak mennek nem 1személyes hősöknek, a megújítás gördülékenyen megvan 1-2 nap alatt, megvannak a bevált és letesztelt folyamatok a rutinműveletekre, és arra is ha beüt a gebasz (pl. cert érvénytelenítés, visszavonási listák hatékony szétküldése)