Stuur suggesties voor verbetering en aanvulling naar certificaten-beheer@surf.nl en/of bart.bosma@surf.nl met in het subject/onderwerp: [Best Practice SURFcertificaten].

In 7 stappen naar beter certificaatbeheer

1.     Certificaatbeheersbeleid

Stel een beleid voor het beheer van certificaten op.

In het beleid zet je in ieder geval het volgende:

• Wanneer je certificaten gebruikt
  • voor welke toepassingen verplicht, bijvoorbeeld publieke websites
  • voor welke toepassingen alleen aanbevolen, bijvoorbeeld signeren informele mail
    
    
•  Welke individuen betrokken zijn:

o   functioneel beheerders,

o   systeembeheerders

•        Welke rechten die individuen hebben:

o   certificaten aanvragen,

o   certificaataanvragen accorderen,

o   certificaten intrekken

o   andere beheerders aanmaken, bewerken of verwijderen

o   domein validatie aanvragen

• Wat de toegestane leverancier(s) is (zijn):

o   hoofdleverancier

o   backup-leverancier (als je die hebt en/of nodig vindt)

• Welk type certificaat vereist is voor bepaalde diensten:

o   EV of OV (SURFcertificaten levert geen DV certificaten)

o  Domain Validated (bij Let's Encrypt)

o   Server, multi-domain of wildcard.

2.     Beheeromgeving

Maak gebruik van een beheeromgeving, portal of software.

Zorg dat beheerders de juiste, minimale benodigde, rechten en rollen hebben.

In Sectigo Certificate Manager zijn beheerrollen gedefinieerd met verschillende rechten, zoals:

• aanmaken van collega beheerders (vraag dit recht aan certificaten-beheer@surf.nl)
  
• bewerken van collega beheerders (vraag dit recht aan certificaten-beheer@surf.nl)
• verwijderen van collega beheerders (vraag dit recht aan certificaten-beheer@surf.nl)
  
• domein validatie aanvragen (vraag dit recht aan certificaten-beheer@surf.nl)
• aanpassen van certificaat details
• aanvragen van client certificaten
• aanvragen van code signing certificaten
• aanvragen van server certificaten (inclusief multi-domein en wildcard)

Geef in de DNS configuratie aan welke leverancier is toegestaan door een CAA-record te configureren voor ieder domein. Houd het overzichtelijk; als er op subdomains ook CAA records staan of als daarin CNAMEs zijn opgenomen wordt het snel een puzzel. Wanneer er ook een of meer backup-leveranciers zijn is het verstandig die ook op te nemen in de CAA-records. Bijvoorbeeld:

N.B. wanneer er geen CAA-record is voor een domein, kan iedere leverancier certificaten voor dat domein leveren.Als je digicert.com alleen in je CAA records hebt staan omdat dat tot mei 2020 de leverancier van SURFcertificaten was, dan kan je die digicert.com nu verwijderen. Het CAA record speelt alleen een rol op het moment van aanmaken van een certificaat, Als je een CA ook wil toestaan om willdcard certificates voor een domain aan te maken (*.iets.surf.nl) dan moet het CAA record behalve een issue ook een issuewild regel bevatten.

Hoe je CAA-records configureert vind je hier:

CAA

3.     Inventarisatie

Zorg voor een up-to-date register van alle certificaten.

Om goed overzicht te houden van de certificaten die in gebruik zijn is het belangrijk een overzicht te hebben van alle certificaten die in gebruik zijn, van welk type ze zijn, wanneer ze verlopen, vanaf wanneer ze verlengd kunnen worden en dergelijke.

In Sectigo Certificate Manager is het mogelijk notificaties te configureren, bijv. om te attenderen op binnenkort verlopende certificaten of domein validaties:

Scan regelmatig op nieuwe certificaten, zodat je alle certificaten die zich op jouw infrastructuur bevinden in kaart hebt.

In Sectigo Certificate Manager is het mogelijk netwerk en webserver discovery scans uit te voeren om in kaart te brengen welke certificaten op jouw netwerk bestaan, onafhankelijk van de leverancier, zodat je eventuele schaduw-certificaten kunt signaleren:

Sommige vulnerability management software (of vm-diensten) kan dit ook in kaart brengen. 

Activeer CT-log monitoring voor jouw domein(en).

Alle SSL/TLS certificaten die uitgegeven worden door publieke CA's moeten sinds enkele jaren gepubliceerd worden in Certificate Transparency Logs. Dat wordt afgedwongen door het CA/Browser Forum. Sectigo en Google stellen de beste CT-Logs gratis beschikbaar. https://crt.sh/

"Certificate Transparency is an ecosystem framework initiated by Google that enables visibility on the world’s SSL / TLS certificates through the creation and maintenance of publicly-accessible logs of issued certificates. Interested parties may maintain public logs that CAs can use to register the TLS certificates they issue. CT is available for all three levels of SSL authentication (Extended Validation [EV], Organization Validation [OV], and Domain Validation [DV])."

Zie ook https://www.certificate-transparency.org/what-is-ct en bijvoorbeeld https://certstream.calidog.io/

4.     Self-signed certificaten

Vermijd het gebruik van self-signed certificaten.

Wanneer je gebruik maakt van SURFcertificaten kun je ongelimiteerd certificaten aanvragen van ieder ondersteund type zolang je de dienst afneemt.

5.     Automatisering

Automatiseer het proces voor aanvragen en uitgifte van certificaten.

In 2020 is de maximale geldigheidsduur van een SSL/TLS certificaat van ruim 2 jaar naar 13 maanden ingekort. SURFcertificaten verwacht dat die trend zich voortzet, bijvoorbeeld naar 6 maanden voor SCM certificaten en naar drie maanden voor Sectigo OV ACME certificaten. Handmatig aanmaken en installeren is dan niet meer vol te houden. Maak gebruik van de API of het ACME protocol om het aanvragen en verkrijgen van certificaten te vereenvoudigen.

In Sectigo Certificate Manager kun je zowel de WS API activeren voor een API gebruiker als gebruikmaken van het ACME protocol om het proces te automatiseren of met eigen tooling aan te sturen.

Voor automatisering van de uitgifte van certificaten vind je hier instructies en hulpmiddelen:

ACME

API

Automatiseer de installatie van je certificaten op systemen.

Maak gebruik van een integratie bijvoorbeeld via API, een server agent, of het ACME protocol om handmatige installatie van certificaten zoveel mogelijk te vermijden.

6.     Scanning

Scan internet-facing websites en applicaties periodiek op kwetsbaarheden en configuratiefouten.

Hiervoor zijn diverse (commerciële en niet-commerciële) tools beschikbaar, zoals bijvoorbeeld Internet.nl, Qualys SSL Labs en Certificate View, Mozilla Observatory en Nessus Essentials.

7.     Rapportage

Rapporteer periodiek, bijvoorbeeld maandelijks, over:

• binnenkort verlopende domein validaties (DCV)
• binnenkort verlopende certificaten
• ingetrokken certificaten
• nieuw ontdekte certificaten
• aantal certificaten en type
• gebruikte signature algorithmen en public key algorithmen
• gebruikte sleutellengtes
• nieuwe kwetsbaarheden en configuratie fouten

 In Sectigo Certificate Manager is een dashboard beschikbaar met dit soort informatie over je met SURFcertifcaten uitgegeven certificaten: