Principal Autoridade Certificadora constata que a automação apresenta desafios significativos de ordem técnica, de compatibilidade, segurança e especialização para uma grande variedade de organizações
A GMO GlobalSign K.K. uma Autoridade Certificadora (AC) global e principal fornecedora de segurança de identidade, assinaturas digitais e soluções para IoT, anunciou hoje os resultados de uma recente pesquisa realizada junto a corporações e pequenas e médias empresas que dependem de produtos e soluções de Infraestrutura de Chave Pública (PKI). Os resultados obtidos a partir de mais de 100 respondentes indicam que muitas organizações não estão preparadas para as amplas mudanças na indústria que exigirão a automação mandatória dos certificados.
Como discutido em nosso comunicado de 20 de junho, ainda este ano e em 2024 poderão ocorrer mudanças significativas no mercado de PKI, sendo o assunto mais urgente a redução do período de validade dos certificados SSL/TLS pela Google.
A solução para atender a essa demanda da Google e de outros navegadores é a automação da gestão de certificados. No entanto, isso tem causado preocupação para milhões de empresas em todo o mundo que dependem da PKI para garantir a conformidade com as normas de segurança, uma vez que muitas delas não estão prontas para essa transformação. Para entender como as companhias estão encarando essa questão, a GMO GlobalSign perguntou a 1.000 organizações sobre a mudança na indústria. Aproximadamente 110 empresas responderam.
Principais Resultados
A GMO GlobalSign investigou os desafios que as organizações enfrentarão quando a Google reduzir o período máximo de validade dos certificados para 90 dias.
Quase um terço dos respondentes apontou que o aumento do trabalho e da complexidade administrativa eram as maiores preocupações (30%). Outro ponto que causa receio aos respondentes é a possibilidade de haverem atualizações mais frequentes de certificados raiz, como prevê-se que aconteça com as atualizações da Mozilla para 2024.
20% dos participantes da pesquisa acreditam que uma rotação de sete anos para certificados raiz é gerenciável e não causaria um impacto significativo.
15% dos que responderam estavam preocupados com os custos e as despesas gerais, especialmente as pequenas empresas e sites, já que nesses tipos de negócios os gastos adicionais podem não ser justificados pelos proprietários.
Outros 30% manifestaram preocupações com sistemas mais antigos ou herdados, expirações frequentes, bem como desafios de segurança e compliance.
Obstáculos para a Automação
A GMO GlobalSign também perguntou aos respondentes sobre as barreiras que existem em geral para a automação. As respostas foram divididas em cinco categorias: limitações técnicas e problemas de compatibilidade, segurança, custos e restrições de recursos, falta de conhecimento ou especialização, e infraestrutura.
38% acreditam que as limitações técnicas e a compatibilidade são os maiores bloqueios à automação. Isso inclui a ausência de soluções prontas para automatizar a gestão de certificados, a falta de suporte para renovação automatizada em certos sistemas ou ambientes (como Windows, IIS e Plesk) e a incompatibilidade de alguns sistemas com soluções automatizadas padrão.
1/4 (um quarto) dos respondentes mencionou custos e restrições de recursos como possíveis obstáculos. Essa categoria engloba os custos associados ao desenvolvimento de um sistema de automação personalizado e os recursos necessários para gerenciar e manter soluções para a gestão automatizada de certificados.
20% dos participantes dizem que a falta de conhecimento ou especialização é outro desafio potencial para a automação de certificados. Nesse percentual estão incluídos “não saber se os sistemas suportam a introdução de novos certificados e a reinicialização de serviços”, ou “não estar familiarizado com a automação em geral”.
10% também mencionaram preocupações com a segurança, especialmente a governança e o controle de um sistema totalmente automatizado, bem como a necessidade de trilhas de auditoria, aprovação de segurança e supervisão em ACs públicas e gratuitas.
7% também expressaram preocupações sobre as limitações da infraestrutura, incluindo servidores que estão por trás dos firewalls com políticas rigorosas, equipamentos que não oferecem uma API ou outro recurso para gerenciar o certificado, e redes que não têm acesso à internet.
“Está claro que existem muitos desafios para a automação de certificados, seja seu negócio uma organização de nível corporativo ou uma PME. Ainda há muitos avanços que precisam acontecer antes que a grande maioria dos clientes possa suportar a automação total”, disse Doug Beattie, Vice-Presidente de Gerenciamento de Produtos da GMO GlobalSign. “
Por outro lado, hoje existem ferramentas disponíveis para aliviar a pressão da automação de certificados. Nossos produtos, como o Ambiente de Gerenciamento Automático de Certificados (ACME), ajudam significativamente as empresas nesse processo.
Na nossa indústria, não há uma resposta definitiva sobre quando a automação mandatória de 90 dias pode se tornar realidade, mas, julgando pela nossa pesquisa, as organizações que têm preocupações relacionadas a esse tópico devem começar a dar os primeiros passos agora. A longo prazo, isso será benéfico aos negócios que aderirem a essa abordagem.”
SOBRE A GMO GLOBALSIGN
Uma das Autoridades Certificadoras mais difundidas no mundo, a GlobalSign é a fornecedora líder de soluções confiáveis de identidade e de segurança digital, que permite que empresas, provedores de serviços baseados em nuvem e inovadores de IoT em todo o mundo conduzam comunicações on-line seguras, gerenciem milhões de identidades digitais verificadas e automatizem a autenticação e a criptografia. Suas soluções PKI e de identidade de alta escala suportam bilhões de serviços, dispositivos, pessoas e coisas que compõem a IoT. Uma subsidiária da GMO GlobalSign Holdings K.K e GMO Internet Group , a GMO GlobalSign tem escritórios nas Américas, Europa e Ásia.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.