Miért nem élünk a 15 éves SSL tanúsítvány lehetőségével?

Ha már néhány éve foglalkozol webes infrastruktúrával, megszoktad a háromhavonta esedékes tanúsítványcserét. Megújítod, majd megint megújítod. Ez a ritmus teljesen természetes lett.

Pedig létezik egy másik út. Bizonyos tanúsítványkibocsátók 15 évre is tudnak Origin Certificate-et kiállítani Cloudflare proxyn keresztül. A lehetőség ott van a kezed ügyében. Mégis szinte mindenki a 90 napos ciklust választja.

Hogyan jutottunk a rövid élettartamhoz

A változás 2020 körül gyorsult fel, amikor a CA/B Forum megszüntette a két- és hároméves tanúsítványokat. A döntés mögött komoly biztonsági érvek álltak.

Ha egy hitelesítésszolgáltató kulcsa kompromittálódik, minden általa kiadott tanúsítvány veszélybe kerül. Minél hosszabb az érvényesség, annál nagyobb a kitettség. Rövidebb tanúsítványoknál ez a kockázat gyorsan kezelhető.

Emellett a gyakori kulcscsere is egyszerűbb, ha nem kell 15 évre előre gondolkodni. Az automatizált rendszerek pedig teljesen átírták a játékszabályokat. A Let's Encrypt megjelenése óta nincs értelme manuálisan kezelni valamit, amit egy szkript elintéz.

Az automatizálás mindent megváltoztatott

Ez a lényeg. Egy 15 éves tanúsítvány vonzónak tűnik, amíg rá nem jössz, hogy a telepítési folyamatodnak már eleve automatikusan kellene kezelnie a tanúsítványokat. Ha ez nem működik, a probléma nem az élettartammal van.

A modern DevOps elvárja, hogy a tanúsítványok is úgy viselkedjenek, mint bármelyik másik infrastruktúra-elem. Automatikusan kiállítva, monitorozva és cserélve. A 90 napos ciklus erre kényszerít – és ez nem hátrány, hanem előny.

A láthatóság kérdése

Néhány platform már képes automatikusan kiválasztani a megfelelő tanúsítványtípust és validációs módszert. Elméletben ez azt jelentené, hogy a 15 éves tanúsítvány ugyanolyan „beállítom és elfelejtem" lenne, mint a rövid élettartamú.

A gyakorlatban azonban hiányzik a kontroll. A fejlesztők szeretik látni, amikor a tanúsítvány cserélődik. Ez egy ellenőrzési pont. Egy 15 éves ablakban ez az ellenőrzés teljesen eltűnik.

Mikor érdemes mégis hosszabb tanúsítványt használni

Vannak helyzetek, ahol a hosszabb érvényességnek van értelme.

Belső szolgáltatásoknál, amelyeket Cloudflare proxyn keresztül érsz el, az Origin Certificate nem kerül ki a nyilvános internetre. Fejlesztői és tesztkörnyezetekben sem feltétlenül kell a háromhavi ritmust követni. IoT eszközöknél vagy backup tanúsítványként is lehet létjogosultsága a hosszabb élettartamnak.

Az igazi kérdés

Még ha használnál is 15 éves tanúsítványt, a monitorozásodnak és az automatizációdnak továbbra is számolnia kellene a cserékkel. A CI/CD pipeline-oknak tesztelniük kellene a tanúsítványfrissítéseket. A dokumentációnak tartalmaznia kellene az egész folyamatot.

Vagyis a hosszabb tanúsítvány nem oldja meg az üzemeltetési problémát, csak elodázza.

Mit jelent ez a gyakorlatban

Nem az a tanulság, hogy keress 15 éves tanúsítványt. Hanem az, hogy az SSL ökoszisztéma szándékosan az automatizálás és a gyorsaság köré épült. A 90 napos ciklus nem korlát – hanem olyan mechanizmus, ami kordában tartja az infrastruktúrát.

Ha egyszerűsíteni akarod a tanúsítványkezelést, ezekre koncentrálj:

• Automatizálás. Legyen láthatatlan a megújítás.
• Monitorozás. Tudd időben, ha valami lejár.
• Helyreállítás. Teszteld a folyamatot nyomás alatt is.
• Dokumentáció. Legyen világos, hogy mi hogyan működik.

A 15 éves tanúsítvány nem ad nyugalmat. A jól működő automatizálás igen.

Cloudflare esetén

Ha Cloudflare proxyt használsz, akkor van lehetőséged hosszabb érvényességű Origin Certificate-et kérni. Ez bizonyos esetekben hasznos lehet. De a legtöbb éles rendszer esetében továbbra is a rövid ciklus a jobb választás.

Összefoglaló

A technológiai paradoxonok gyakran mutatnak rá arra, hogyan dolgozunk valójában. Hogy a 15 éves tanúsítvány létezik, de szinte senki sem használja, nem piaci rés – hanem annak a jele, hogy az iparág jobb megoldást talált.

A 90 napos ciklus és az ingyenes automatizálás jobb infrastruktúra-gyakorlatokra kényszerített minket. Néha a legjobb funkció az, ami jobb szokásokra nevel, nem az, ami megspórolja a munkát.

Maradj automatizált. És ha egyszer mégis kell egy 15 éves tanúsítvány egy speciális esetre, most már tudod, hol keresd.