Downtime, je moet er als websitebeheerder niet aan denken. Daarom dekken de meeste admins zich tegenwoordig goed in: van dubbele servers en dubbel uitgevoerde routers, een back-up datacentrum of andere back-up locaties tot driedubbel uitgevoerde internetverbindingen en topkwaliteit load balancers. En dat alles om er maar voor te zorgen dat een website of service bij problemen niet of nauwelijks offline zal gaan. Een onbereikbare website of dienst betekent ten slotte geen klanten, en geen inkomsten.

Maar denkt u bij back-ups ook aan uw SSL certificaat?

Veiligheid voorop
Uw SSL certificaat zal wellicht niet bij u opkomen wanneer u denkt aan het dubbel uitvoeren van uw systemen. Misschien wordt het daar toch tijd voor: een back-up certificaat kan uw website in de lucht houden wanneer er problemen ontstaan met uw primaire certificaat. Een SSL certificaat is zo geïnstalleerd en beveiligt uw verbinding door te leunen op de veiligheid van het root certificaat van de Certificate Authority die het certificaat heeft uitgegeven. Normaal gesproken is er op die veiligheid te vertrouwen: het is aan de CA om er voor te zorgen dat het root certificaat veilig is. Maar wanneer de CA onverhoopt in de problemen komt, zou het zomaar kunnen gebeuren dat uw certificaat plotseling niet meer als veilig wordt gezien door de browsers.

CA’s die de fout in gaan
Een recent voorbeeld hiervan is natuurlijk de huidige situatie omtrent Symantec, die nog steeds doorsuddert. Maar in oktober 2016 was CA GlobalSign ook de pineut. Tijdens het updaten van een van hun eigen certificaten werd per ongeluk één van hun intermediate certificaten ingetrokken, waardoor de complete chain of trust implodeerde. Het resultaat was wereldwijd te merken, toen browsers allerlei websites markeerden als niet veilig en diensten onbereikbaar raakten. GlobalSign loste uiteindelijk de situatie weer helemaal op, waardoor de CA weer in de goede gratie van de browsers kwam te staan.

Kleine CA’s StartCom en WoSign kwamen er in november van vorig jaar minder bekaaid van af. Uit onderzoek van Google bleek dat deze CA’s certificaten uit hadden gegeven voor websites zonder dat de websitebeheerder daar weet van had. Klanten van deze CA’s hadden simpelweg pech: hun voorheen veilige SSL certificaat werd ineens als onveilig gemarkeerd.

Back-up certificaat
Om te voorkomen dat bij dit soort calamiteiten uw website of dienst plotseling niet meer bereikbaar is, kunt u een back-up SSL certificaat aanschaffen van een tweede CA. Dit certificaat kan een goedkopere variant zijn, al moet het natuurlijk wel alle SAN-namen bevatten die in uw primaire certificaat zijn opgenomen. Daarnaast is het verstandig om voor een certificaat te kiezen met een andere looptijd dan uw primaire certificaat, zodat ze niet gelijktijdig verlopen.

Als u gebruik wilt maken van een back-up certificaat, is het verstandig om deze klaar voor gebruik te hebben staan. Zorg ervoor dat uw keys al op de servers aanwezig zijn, en dat het certificaat op een makkelijk te vinden plek staat zodat u het zo snel mogelijk kunt installeren, mocht het nodig zijn.

Maakt u gebruik van HPKP, oftewel HTTP Public Key Pinning? Zorg er dan alvast voor dat de back-up keys ook al in de headers van de website gepind staan. Voor meer informatie over het proces van public key pinning kunt u ons blogbericht “Ik heb SSL, wat nu?” lezen uit de serie SSL en Verder.

Pre-validatie
Mocht u snel een certificaat nodig hebben en niet gedacht hebben aan een back-up certificaat, kunt u ook terecht bij een CA die pre-validatie biedt. Met deze oplossing kunt u uw bedrijf van te voren al laten valideren door een CA, zodat uw gegevens gecontroleerd en wel worden opgeslagen. Zodra u een certificaat nodig hebt, kunt u dan een bestelling plaatsen. Deze wordt veel sneller uitgegeven, omdat de CA geen tijd meer hoeft te steken in het controleren van uw bedrijfsgegevens.

Bent u geïnteresseerd in deze oplossing? Neem dan even contact op met onze salesafdeling via sales@networking4all.com of door te bellen naar +31 (0)20 788 10 30. Zij kunnen u meer vertellen over pre-validatie.

Goede gewoonte
Het is sowieso aan te raden om goed bij te houden welke certificaten u gebruikt, en waar u deze in heeft gezet. Mocht u gebruik willen maken van een back-up certificaat, kunt u er natuurlijk voor kiezen om deze alleen in te zetten op kritieke systemen, of voor de zekerheid kiezen om voor al uw systemen een back-up certificaat in te zetten. Maar wanneer u serieus aan de slag wilt met uw veiligheid en zoveel mogelijk downtime wilt voorkomen, is het gebruiken van een back-up certificaat een hele mooie aanvulling op uw securityprotocol.

Lees relevante artikelen

Categorie  Bedrijfsnieuws SSL & Security | Tags  back-ups Security ssl