Venafi’ye göre güvenlik liderlerinin %76’sı güvenliği iyileştirmek için daha kısa sertifika ömürlerine geçmenin acil bir ihtiyaç olduğunu kabul ediyor. Ancak birçoğu harekete geçmeye hazır hissetmiyor ve %77’si 90 günlük sertifikalara geçişin daha fazla kesintinin kaçınılmaz olacağı anlamına geleceğini söylüyor.
Google, TLS sertifikalarının kullanım sürelerini kısaltmayı planlıyor
Güvenlik liderlerinin %81’i, Google’ın TLS sertifika ömürlerini 398 günden 90 güne kısaltmaya yönelik önerdiği planların, sertifikaları yönetme konusunda yaşadıkları mevcut zorlukları artıracağına inanıyor. Katılımcıların ezici bir çoğunluğu (%94) değişikliklerin etkisinden endişe duyuyor, %73’ü bunun “kaosa” yol açabileceğini ve %75’i ise kendilerini daha az güvenli hale getirebileceğini söylüyor.
Sertifika yetkilisi (CA) Entrust tarafından verilen sertifikaların artık güvenilir olamayacağına dair son karar, CA pazarındaki bozulmanın son örneğidir. Aslında, güvenlik liderlerinin %88’i kuruluşlarının CA iptallerinden etkilendiğini bildiriyor. Bunlardan %45’i sertifikaları bulmak, iptal etmek ve değiştirmek için ekstra kaynaklar dağıtmak zorunda kaldı; %38’i bir güvenlik olayı yaşadı; ve %31’i sertifikayla ilgili bir kesinti yaşadı.
Yeni kuantum dirençli şifreleme algoritmalarına geçiş ihtiyacı etrafında ivme kazanılırken, güvenlik liderlerinin %64’ü yönetim kurulunun geçiş planları hakkında soru sorduğu günü “korktuklarını” söylüyor. %78’i şifrelemeyi kırabilen bir kuantum bilgisayarı yapılırsa “o zaman halledeceklerini” söylerken, %60’ı kuantum bilişiminin bugün veya gelecekte işleri için bir risk oluşturmadığına inanıyor. Dahası, %67’si sorunu reddederek bunun bir “abartı kıyameti” haline geldiğini belirtiyor.
“Geçtiğimiz günlerde dünyanın en büyük BT kesintisini yaşadık – CrowdStrike güncelleme kesintisi bir hataydı ve beklenmedik bir şeydi. Güvenlik ekipleri, nefret etmeyi sevdikleri şeyden, yani daha fazla süresi dolan sertifikalardan kaynaklanan yeni kesintiler yaşandığında büyük risklerle karşı karşıya kalacaklarını biliyorlar,” dedi Venafi’de baş inovasyon görevlisi olan Kevin Bocek.
“Daha kısa sertifika yaşam döngülerine geçiş, bu riskleri önemli ölçüde azaltır ve gerekli bir harekettir. Ancak, bu aynı zamanda güvenlik ekipleri için daha fazla kaosa yol açabilir ve Chrome’da Entrust’ın güvenilmez olmasıyla birlikte iki kat daha kötüdür. Kömür madeninde sadece kanaryalar yoktur; her bulutta, sanal makinede ve Kubernetes kümesinde dağ sıçanları vardır. Sadece bir yazılım güncelleme satıcısı değil; bildiğimiz şekliyle tüm İnternet’tir,” diye devam etti Bocek.
90 günlük sertifika zorlukları
90 günlük sertifikaların getirilmesiyle birlikte kuruluşların sertifikalarını şu anda olduğundan beş kat daha sık yenilemeleri gerekecek; bu da gereken çabayı beş katına çıkaracak.
Anket, bunun işletmeler için iki nedenden ötürü büyük bir zorluk olacağını ortaya koyuyor:
Gecikmeli dağıtım – Güvenlik liderlerinin yalnızca %8’i, tüm kuruluşlarında TLS sertifika yönetiminin tüm yönlerini tamamen otomatikleştiriyor ve neredeyse üçte biri (%29) sorunu yönetmek için hala kendi yazılımlarına ve elektronik tablolarına güveniyor. Sonuç olarak, bir sertifikayı dağıtmak ortalama 2-3 iş günü (21,75 saat) sürüyor.
TLS dönüşümü – Son yıllarda teknoloji benimsemesindeki büyüme nedeniyle kuruluşlarda kullanılan TLS sertifikalarının hacmi istikrarlı bir şekilde artmaktadır. Güvenlik liderlerinin %95’i, dijital dönüşüm girişimlerinin kuruluşlarının SSL/TLS kullanımını geçen yıl ortalama %36 oranında artırdığını söylüyor. Sonuç olarak, ortalama bir kuruluş artık 3.730 TLS sertifikası yönetiyor; bu sayının 2026’ya kadar %39 artarak rakamı 5.000’in üzerine çıkarması bekleniyor.
Kuantumda da benzer zorluklar var. Ankete katılanların %67’si, tüm anahtarlarının ve sertifikalarının nerede olduğunu bilmedikleri için kuantum sonrası kriptografiye geçişin bir kabus olacağına inanıyor. Bu geçişlerin sunduğu belirli zorluklara bakıldığında, göçün potansiyel hızı, ölçeği ve maliyeti ile dahili beceri ve bilgi eksikliği en önemli üç endişe olarak gösterildi. Ancak, %86’sı anahtarların ve sertifikaların yönetimini kontrol altına almanın gelecekteki kuantum risklerine hazırlanmanın en iyi yolu olduğunu söylüyor.
“Harika bir haberimiz var: 90 günlük sertifikalardan güvenilmeyen CA’ları değiştirmeye ve kuantum sonrasına geçiş yapmaya kadar, güvenlik ekipleri bugün birkaç yıl önce sahip olmadıkları makine kimlik güvenliği yeteneklerine sahipler. Güvenlik ekipleri artık sertifika yaşam döngüsü yönetimini (CLM), PKI-bir-hizmet-olarak ve iş yükü kimlik sağlayıcılarını tek bir kontrol düzleminde elde edebilir,” diye sonlandırıyor Bocek.
“90 günlük sertifika ömürlerinin tahribat yaratmamasını sağlamak için iş planı basittir. Son büyük BT kesintisinin aksine sorunun yaklaştığını biliyoruz ve makine kimlik güvenliğiyle uygulamaya koyduğumuz otomasyon bizi kuantum sonrası geleceğe, bir sonraki CA güvensizliğine ve geliştiricilerimizin seçtiği herhangi bir bulutta çalışmaya hazır hale getiriyor.”