
Pesquisa feita pela GMO GlobalSign revela que 15% das grandes corporações e empresas de menor porte estão preocupados com os custos e as despesas gerais provocadas pela mudança, especialmente as pequenas empresas e os sites.
Pesquisa feita pela GMO GlobalSign, uma Autoridade Certificadora (AC) global e principal fornecedora de segurança de identidade, assinaturas digitais e soluções para IoT, indicam que muitas organizações não estão preparadas para as amplas mudanças na indústria que exigirão a automação mandatória dos certificados.
CONTEÚDO RELACIONADO – 3 dicas para utilizar o SSL/TLS de maneira segura e assegurar disponibilidade do site
Ainda este ano e em 2024 poderão ocorrer mudanças significativas no mercado de PKI, sendo o assunto mais urgente a redução do período de validade dos certificados SSL/TLS pelo Google. A solução para atender a essa demanda do Google e de outros navegadores é a automação da gestão de certificados.
No entanto, isso tem causado preocupação para milhões de empresas em todo o mundo que dependem da PKI para garantir a conformidade com as normas de segurança, uma vez que muitas delas não estão prontas para essa transformação. Para entender como as companhias estão encarando essa questão, a GMO GlobalSign perguntou a 1.000 organizações sobre a mudança na indústria. Aproximadamente 110 empresas responderam.
Os resultados obtidos a partir de mais de 100 respondentes revelam os desafios que as organizações enfrentarão quando a Google reduzir o período máximo de validade dos certificados para 90 dias.
Quase um terço dos respondentes apontou que o aumento do trabalho e da complexidade administrativa são as maiores preocupações (30%). Outro ponto que causa receio aos respondentes é a ocorrência de atualizações mais frequentes de certificados raiz, como prevê-se que aconteça com as atualizações da Mozilla para 2024.
20% dos participantes da pesquisa acreditam que uma rotação de sete anos para certificados raiz é gerenciável e não causaria um impacto significativo.
15% dos que responderam estão preocupados com os custos e as despesas gerais, especialmente as pequenas empresas e sites, já que nesses tipos de negócios os gastos adicionais podem não ser justificados pelos proprietários.
Outros 30% manifestaram preocupações com sistemas mais antigos ou herdados, expirações frequentes, bem como desafios de segurança e compliance.
Obstáculos para a Automação
A GMO GlobalSign também perguntou aos respondentes sobre as barreiras que existem em geral para a automação. As respostas foram divididas em cinco categorias: limitações técnicas e problemas de compatibilidade, segurança, custos e restrições de recursos, falta de conhecimento ou especialização, e infraestrutura.
38% acreditam que as limitações técnicas e a compatibilidade são os maiores bloqueios à automação. Isso inclui a ausência de soluções prontas para automatizar a gestão de certificados, a falta de suporte para renovação automatizada em certos sistemas ou ambientes (como Windows, IIS e Plesk) e a incompatibilidade de alguns sistemas com soluções automatizadas padrão.
1/4 (um quarto) dos respondentes mencionou custos e restrições de recursos como possíveis obstáculos. Essa categoria engloba os custos associados ao desenvolvimento de um sistema de automação personalizado e os recursos necessários para gerenciar e manter soluções para a gestão automatizada de certificados.
20% dos participantes dizem que a falta de conhecimento ou especialização é outro desafio potencial para a automação de certificados. Nesse percentual estão incluídos “não saber se os sistemas suportam a introdução de novos certificados e a reinicialização de serviços”, ou “não estar familiarizado com a automação em geral”.
10% também mencionaram preocupações com a segurança, especialmente a governança e o controle de um sistema totalmente automatizado, bem como a necessidade de trilhas de auditoria, aprovação de segurança e supervisão em ACs públicas e gratuitas.
7% também expressaram preocupações sobre as limitações da infraestrutura, incluindo servidores que estão por trás dos firewalls com políticas rigorosas, equipamentos que não oferecem uma API ou outro recurso para gerenciar o certificado, e redes que não têm acesso à internet.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.