Situazione:

Nel nostro sistema ci sono molti certificati. Alcuni di questi sono usati per proteggere gli endpoint HTTPS. Molti altri sono usati come mezzo per autenticare il nostro sistema su un sistema esterno (ci integriamo con una dozzina di altri sistemi). Altri ancora sono usati per autenticare sistemi esterni nel nostro sistema.

Tutto sommato, abbiamo dozzine di certificati diversi che giacciono dappertutto. La maggior parte di essi si trova solo in un posto - il server di produzione che ne ha bisogno. Alcuni sono controllati nel controllo del codice sorgente, ma siamo tutti d'accordo non è una buona idea, ma nessuno è ancora riuscito a risolverlo. Non esiste un elenco di tutti (o nessuno) di essi.

Problema (s) (?)

Io e altri colleghi pensiamo che sia troppo caotico. Sembra che dovremmo avere una sorta di registro in cui sono memorizzati. Un posto centrale che li elenca tutti; dove puoi controllare quale sarà la prossima scadenza; e dove è possibile ripristinarli da quando è necessario. A volte un certificato scade e nessuno lo nota finché non è troppo tardi.

contro-argomentazioni

Gli altri colleghi si sentono diversamente. La maggior parte dei certificati viene rinnovata automaticamente (certbot), ci sono le notifiche impostate nel nostro sistema di monitoraggio (Zabbix), oppure ci sono e-mail di terze parti che ci informano quando scadono e devono essere sostituite. Tutti i certificati sono già sottoposti a backup nei "normali" backup del server che eseguono semplicemente il backup dell'immagine del server virtuale. E se anche questi backup sono andati, abbiamo problemi più grandi di cui preoccuparci. Inoltre, la memorizzazione dei certificati altrove riduce la sicurezza.

Domanda

Ci sono delle buone pratiche ampiamente concordate qui? Dovremmo creare un registro centrale dei certificati o ogni certificato dovrebbe essere trovato in un posto e solo uno? C'è forse già del software per la gestione sicura di un elenco di certificati?