Zorgeloos certificaatbeheer
Doelgroep:
Als jij als systeembeheerder of -eigenaar de verantwoordelijkheid hebt over een server die beveiligde verbindingen moet accepteren en daarvoor digitale certificaten gebruikt, dan geeft dit artikel jou de context en richtlijnen om je certificaatbeheer goed in te richten.
Wanneer je als CIO- of CISO-office de verantwoordelijkheid hebt om certificaatbeheer goed in de organisatie te borgen, dan vind je in dit artikel een stappenplan hoe je dat kunt aanpakken.
In samenwerking met: Logius, SSC-ICT en SURF
Definities:
Een digitaal certificaat garandeert de integriteit, authenticiteit en vertrouwelijkheid van informatie. Het TLS-protocol gebruikt digitale certificaten om de authenticiteit van een website te garanderen. Een digitaal certificaat kan ook de integriteit van documenten garanderen door een digitale handtekening te genereren. Daarnaast kan een digitaal certificaat de vertrouwelijkheid van (e-mail)berichten garanderen door deze te versleutelen met de publieke sleutel van de ontvanger. Alleen de ontvanger kan dit bericht dan ontcijferen met zijn privésleutel.
Wat is een Public Key Infrastructure (PKI?)
Een PKI is een samenspel van architectuur, techniek, organisatie en procedures dat certificaten voor publieke sleutels uitgeeft en beheert. Er zijn verschillende soorten PKI’s. Websites op het internet gebruiken certificaten uit de web-PKI. In de web-PKI worden bepaalde root-CA’s vertrouwd door browsers. Websites die https op internet aanbieden, hebben een certificaat dat uitgegeven is door een van deze root-CA’s of een onderliggende CA. Organisaties kunnen ook zelf een interne PKI hebben.
Een PKI is een samenspel van architectuur, techniek, organisatie en procedures dat certificaten voor publieke sleutels uitgeeft en beheert. Er zijn verschillende soorten PKI’s. Websites op het internet gebruiken certificaten uit de web-PKI. In de web-PKI worden bepaalde root-CA’s vertrouwd door browsers. Websites die https op internet aanbieden, hebben een certificaat dat uitgegeven is door een van deze root-CA’s of een onderliggende CA. Organisaties kunnen ook zelf een interne PKI hebben.
Achtergrond
Een digitaal certificaat is een keurmerk van een certificaatautoriteit (CA) dat aangeeft dat jij bent wie je zegt dat je bent. Je gebruikt certificaten om je servers in staat te stellen beveiligde verbindingen te accepteren van andere systemen. De beveiliging van die certificaten is belangrijk. Als een aanvaller de privésleutel van een certificaat weet te stelen, dan kan die je beveiligde verbindingen onderscheppen, afluisteren en manipuleren, of zich met een ander systeem voordoen als jouw organisatie.
Om de gevolgen van diefstal van privésleutels te beperken kiezen grote CA’s ervoor om certificaten een steeds kortere geldigheidsduur te geven. Als het dan toch misgaat, kan een aanvaller er niet te lang misbruik van maken. Dit helpt ook om het stelsel wendbaarder te maken bij veranderingen, zoals de komst van kwantumcomputers. Lange tijd was een levensduur van een jaar gebruikelijk, maar dit wordt tot 2029 stapsgewijs afgebouwd tot 47 dagen.
Je moet je certificaten daarom steeds vaker vernieuwen. Het is opportuun om je certificaatbeheer te automatiseren, zodat je hier geen omkijken naar hebt. Een goed ingeregelde omgeving voor certificaatbeheer met minder handwerk betekent ook minder fouten, en daardoor een kleinere kans op incidenten en een hogere beschikbaarheid van je digitale dienstverlening.
In deze publicatie gaan wij hoofdzakelijk in op TLS-certificaten uit de web-PKI. Je kunt de adviezen ook toepassen op andere PKI’s.
Gebruik ACME
Gebruik het Automatic Certificate Management Environment (ACME)-protocol voor je certificaatbeheer. Met ACME kun je de periodieke vervanging van certificaten volledig automatiseren. Gebruik het onderstaande stappenplan om de randvoorwaarden rondom je certificaatbeheer in te vullen.
Overstappen op ACME betekent dat je perspectief op certificaatbeheer verandert. In het verleden hield je een centraal overzicht bij van alle certificaten en waar die in je organisatie werden gebruikt, en je regelde het beheer vanuit die centrale plek. Met ACME wordt certificaatbeheer op individuele systemen in hoge mate geautomatiseerd. Je hebt minder te beheren, en je centrale overzicht gaat niet meer over de certificaten, maar over de systemen die ze gebruiken.
ACME is een open standaard voor geautomatiseerd certificaatbeheer. Het is ontwikkeld door de non-profitorganisatie Internet Security Research Group, de partij achter certificaatautoriteit Let’s Encrypt. Let’s Encrypt loopt vooruit in het verkorten van de geldigheidsduur van certificaten en heeft onder andere de ACME-client Certbot hiervoor ontwikkeld. Er zijn verschillende andere ACME-clients beschikbaar. Andere CA’s gebruiken inmiddels ook ACME, die onder RFC8555 is gestandaardiseerd. Het wordt in Nederland mogelijk opgenomen op de Pas toe of leg uit-lijst van het Forum Standaardisatie.
Stap 1: Beschrijf het proces voor certificaatbeheer
Zorg voor een document waarin het certificaatbeheerproces wordt beschreven. Leg daarin alle maatregelen vast die in dit stappenplan staan beschreven. Zorg ervoor dat het proces periodiek wordt onderhouden als onderdeel van je risicomanagementproces, waarbij je maatregelen aanscherpt wanneer de noodzaak hiervoor blijkt uit een risicoanalyse. Laat het document op het juiste organisatorische niveau goedkeuren.
Stap 2: Inventariseer welke systemen certificaten gebruiken
Ga na welke systemen certificaten gebruiken en houd dit bij in een overzicht. Leg daarbij vast wie de verantwoordelijke systeem- of applicatie-eigenaar is. Een systeem kan in eigen beheer zijn of uitbesteed aan een leverancier. In beide gevallen wil je een interne contactpersoon als aanspreekpunt. Geef die eigenaren de opdracht om zorg te (laten) dragen voor het technische certificaatbeheer op het systeem zelf.
Stap 3: Maak de benodigde afwegingen
Om je certificaatbeheer solide in te richten en te laten aansluiten op je cybersecuritydoelstellingen moet je een aantal keuzes maken.
Keuze 1: Kies een certificaattype dat bij je doelstellingen past
Certificaten zijn leverbaar in verschillende soorten, die verschillen in het niveau van zekerheid ze bieden.
- Domain Validation (DV): de CA controleert of je toegang hebt tot het domein waar het certificaat voor is. Dit is de basisbenodigdheid voor een https-verbinding.
- Organization Validation (OV): de CA controleert daarnaast ook welke organisatie het certificaat aanvraagt. Een gebruiker kan dit in de browser controleren, of een systeem kan dit automatisch uitlezen.
- Extended Validation (EV): de CA controleert je organisatie nog uitgebreider.
- Qualified Website Authentication Certificate (QWAC): deze worden door specifieke gekwalificeerde Trust Service Providers uitgegeven volgens de Europese eIDAS-verordening.
In het verleden gaven EV-certificaten in browsers een groene adresbalk om extra vertrouwen uit te stralen. Browsers hebben deze functie echter afgebouwd, wat de toegevoegde waarde van EV-certificaten beperkt maakt. Of je een OV- of QWAC-certificaat nodig hebt hangt ook af van wetten of normenkaders die van toepassing zijn. Voor organisaties die gebruikmaken van DigiD zijn bijvoorbeeld normen opgesteld wanneer DV- of OV-certificaten nodig zijn. Zie de website van Logius voor meer informatie. Ook de Baseline Informatiebeveiliging Overheid noemt OV-certificaten onder basishygiëne.
Naast het type validatie bestaan er ook certificaten die voor meerdere subdomeinen tegelijk van toepassing zijn. Deze zogenoemde wildcard-certificaten vereenvoudigen het certificaatbeheer, maar vergroten de impact van incidenten aanzienlijk omdat dan meerdere systemen tegelijk getroffen worden.
Keuze 2: Onderzoek hoe je domeinvalidatie kunt automatiseren
Wanneer een CA wil controleren of je beschikt over het domein waar je het certificaat voor aanvraagt, heb je verschillende mogelijkheden. Het is mogelijk om meerdere certificaten aan te vragen na één domeinvalidatie, maar ook de geldigheidsduur van de domeinvalidatie wordt korter. Het automatiseren van het domeinvalidatieproces is ook mogelijk, maar dit stelt technische eisen aan een server die met het internet verbonden is. Inventariseer de technische eisen en maak een risicoafweging of je die wilt toepassen. Borg de aanpassingen in je wijzigingsproces.
Keuze 3: Neem passende technische maatregelen
Richt je systemen technisch op de juiste manier in om incidenten te voorkomen en het maximale te halen uit de beveiligingsfuncties.
Zorg voor veilig beheer van de inloggegevens waarmee je certificaten aanvraagt. Die worden door je CA verstrekt en zijn nodig vanaf ieder systeem dat een certificaataanvraag uitstuurt. Gebruik je inventarisatie van systemen om een overzicht te behouden waar de credentials verspreid zijn. Realiseer je dat dit long-lived credentials zijn, dus behandel die met een passend niveau van beveiliging. Sluit zo veel mogelijk aan bij de voorzieningen die je organisatie heeft voor identiteits- en toegangsbeheer.
Gebruik de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het NCSC om je TLS-verbindingen veilig te configureren. Een slecht beveiligde verbinding kan leiden tot diefstal van gegevens en compromittatie van de privésleutel die bij het certificaat hoort.
Gebruik Certificate Authority Authorization (CAA) door in je DNS-records de CA’s te publiceren die certificaten voor jouw domeinnamen mogen uitgeven. Hierdoor kunnen aan kwaadwillenden geen certificaten voor jouw domein worden uitgegeven door een andere CA.
Pas ook de DANE-standaard toe. Publiceer hiervoor een TLSA-record waarin de publieke vingerafdruk staat van een (intermediate) certificaat van waaruit jouw certificaten zijn uitgegeven. Pas DANE toe in combinatie met DNSSEC.*
Publiceer voor zowel CAA als DANE ook de CA’s en vingerafdrukken van reserveleveranciers. Als browsers je primaire CA niet meer vertrouwen dan is dit geen belemmering om snel over te stappen naar een andere CA.
*DNSSEC is een voorwaarde om DANE te laten werken. Zie voor meer informatie de publicatie Beveilig verbindingen van mailservers.
Zorg ervoor dat de systemen die certificaten gebruiken ook onderhavig zijn aan alle beveiligingsmaatregelen die voortkomen uit je risicomanagement, zoals hardeningrichtlijnen. Zo voorkom je diefstal van je privésleutels of ACME-credentials.
Keuze 4: Wees voorbereid op incidenten
Ondanks alle maatregelen kun je een incident nooit helemaal voorkomen. Wees er daarom op voorbereid. Zorg ervoor dat je een incident tijdig doorhebt en dat je er adequaat op reageert.
Houd als onderdeel van je securityoperatie een aantal zaken in de gaten, en automatiseer deze controles zo veel mogelijk:
- Controleer regelmatig of je bij het opzetten van een beveiligde verbinding geen certificaatfoutmeldingen krijgt.
- Houd de Certificate Transparency-logboeken in de gaten om te kijken of de certificaten voor jouw domeinen nog geldig zijn en of er certificaten worden uitgegeven die niet in jouw overzicht voorkomen. Gebruik bijvoorbeeld de bron crt.sh om Certificate Transparency-logboeken te raadplegen.
- Controleer kort voor de verloopdatum van een certificaat of de automatische vervanging in orde is.
In een aantal scenario’s moet je snel kunnen ingrijpen. Bereid daarom responsplannen voor. Organiseer oefeningen met alle betrokken personen en verschillende scenario’s.
- Een systeem geeft een certificaatfoutmelding: weet wat je moet doen om te controleren waar dat aan ligt en vernieuw het certificaat zo snel mogelijk.
- Een aanvaller heeft misschien toegang gehad tot een privésleutel: trek het certificaat in via je leverancier en vernieuw het zodra je de aanval hebt tegengehouden.
- Een aanvaller heeft misschien toegang gehad tot je ACME-credentials: wijzig je credentials en voer dit door op al je systemen; intensiveer je monitoring op mogelijk misbruik.
- De CA die jouw primaire leverancier is heeft een incident en trekt daarom certificaten in: inventariseer en vernieuw zo snel mogelijk alle getroffen certificaten.
- De CA die jouw primaire leverancier is dreigt door browsers te worden uitgesloten als root-CA: vervang zo snel mogelijk al je certificaten door die van een andere CA.
Ten slotte
Certificaatbeheer is een proces dat je nauwgezet moet uitvoeren. Incidenten hebben namelijk een grote impact op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie binnen je organisatie. Zorg er daarom voor dat beleidskeuzes op het juiste organisatorische niveau zijn gemaakt, dat de uitvoerenden volledig op de hoogte zijn en dat alle betrokkenen hun verantwoordelijkheden kennen. Neem je beleid en maatregelen voor certificaatbeheer mee in je risicomanagement en in je proces voor cybersecuritybeheer.