31 mei 2018

Complete gids voor het wisselen van MSSL CA-provider

Door de hele hype rond het wisselen van Managed SSL-serviceprovider, kan nogal de indruk gewekt worden dat het proces enorm ingewikkeld en onoverzichtelijk is. Eigenlijk is het helemaal niet zo ingewikkeld als je zou denken. Succesvolle overschakelingen zijn gebaseerd op een reeks duidelijke verwachtingen op het gebied van middelen, kosten en voorbereiding en volgen een reeks gebeurtenissen. Laten we eens kijken wat er precies moet gebeuren om de overgang zo vlot mogelijk te laten verlopen.

Stap 1 – Zoek en evalueer bestaande certificaten, noden en gebruik

Wanneer je overweegt om te veranderen van Managed SSL-providers, moet je eerst het huidige SSL-gebruik en omgeving evalueren. We raden dit aan als eerste stap omdat het belangrijk is om redelijke verwachtingen te hebben wat de kosten en tijd verbonden aan de overstap betreft.

Een inventaris van alle certificaten maken

Bepaal de locatie van alle huidige certificaten zodat je weet welke certificaten moeten worden vervangen zodra je de overstap maakt. Grote bedrijven hebben mogelijk een groot aantal actieve SSL-certificaten in hun omgevingen. Daarom is het uitermate belangrijk om alle certificaten op te sporen tijdens de overgang om mogelijke verlopen certificaten te voorkomen, wat kan leiden tot onvoldoende dekking, netwerkstoringen of mogelijke conformiteitsproblemen.

GlobalSign heeft een Certificate Inventory Tool waarmee je dit kan doen.

Intern vs. extern gebruik identificeren

De verschillende CA's bieden verschillende beveiligingsniveaus en functies aan. Neem de tijd om het aanbod van de potentiële nieuwe CA door te nemen en te bepalen welke producten aan de eisen van uw organisatie voldoen.

  • Openbare sites vereisen hogere beveiligingsniveaus en moeten worden beveiligd met een certificaat van een merk met een goede naam.
  • Interne sites moeten enkel versleuteld worden. Daarvoor kan je eenvoudige certificaten met minder functies gebruiken.

Werken met certificaten van meerdere CA's

Een organisatie kan om veel verschillende redenen met meerdere CA's werken:

  • Veel verschillende personen of afdelingen hebben apart certificaten van verschillende serviceproviders gekocht.
  • Verschillende CA's ten gevolge van fusies of overnames.

Met meerdere CA's werken kan het opstellen van een nauwkeurige inventaris van uw bestaande certificaten bemoeilijken. Gelukkig kan je met GlobalSigns Certificate Inventory Tool het netwerk indexeren en alle bestaande certificaten opsporen, ongeacht de verlenende CA. Zo kan je een complete inventaris aanmaken die je kunt gebruiken bij de overstap naar de nieuwe Managed SSL-serviceprovider.

Als je zeker bent dat alle bestaande SSL-certificaten bij dezelfde CA werden gekocht, kan je een lijst met alle certificaten van die account downloaden. Zo beschikt u over een overzicht van alle vorige aankopen en hoef je tijdens het migratieproces niet op de oude account te vertrouwen.

Beheerders, servers en toepassingen identificeren

  • Je moet bepalen welke van de teamleden het nieuwe account zullen beheren. Het is belangrijk dat deze personen worden opgeleid voor de nieuwe grafische gebruikersinterface en je moet rekening houden met de opleidingstijd in de tijdlijn voor de overstap.
  • Het aantal en type servers en toepassingen waarvoor je certificaten hebt, moeten nauwkeurig worden bepaald, zodat je precies weet wat je kan verwachten wanneer je daadwerkelijk wisselt van Managed SSL-serviceproviders. Een voorbeeld is dat je mogelijk handmatig certificaten moet vervangen, afhankelijk van het type server waarop het certificaat is geïnstalleerd.

Stap 2 – Bepaal de verlengingsstrategie en volgende stappen

De logistiek achter het wisselen van Managed SSL-serviceproviders is veel eenvoudiger als je precies weet waarmee je te maken hebt. Er bestaat een grote misvatting hierover die organisaties vaak afschrikt omdat het proces vaak wordt afgeschilderd als ingewikkeld en tijdrovend. Wanneer je dit stap voor stap aanpakt en precies nagaat wat erbij komt kijken, zul je merken dat het niet zo ingewikkeld en vrij goed realiseerbaar is.

Een verlengingsstrategie kiezen

Maak altijd een plan van aanpak voor het verlengen van certificaten voordat u wisselt van Managed SSL-provider. De meeste CA's zouden de volgende procedures voor verlengingen en vervangingen moeten kunnen ondersteunen:

  • Overgangsmodel: Bekijk verlengingen op individuele basis, elk certificaat wordt verlengd zodra de vervaldatum nadert. Een nauwkeurig certificaatrapport met vervaldatums is in dit geval heel belangrijk, net als het aanstellen van iemand die verantwoordelijk is voor het beheer van verlengingen. Met dit model besteedt je in het begin van de overgang minder tijd aan de installatie van certificaten, maar je moet de vervaldatums goed in het oog houden tot alle certificaten vernieuwd zijn onder de nieuwe beheeraccount.
  • "Weggooien en vervangen"-model: Dit betekent letterlijk wat de term zegt: je kan ervoor kiezen om alle certificaten tegelijk te vervangen. Het vraagt een bijkomende initiële investering van tijd en middelen om alle certificaten tegelijk te vervangen, maar je hoeft geen rekening te houden met vervaldatums en geen oude certificaten op te volgen tijdens hun levensduur. Je hoeft bovendien niet te vertrouwen op meerdere verschillende beheerplatformen. GlobalSign kan de certificaten omruilen. De resterende geldigheidsduur van het bestaande certificaat wordt dan gratis toegevoegd aan een GlobalSign-certificaat.
  • Leer de nieuwe grafische gebruikersinterface: Je moet weten en nagaan hoeveel gebruikers je hebt en wat hun rollen en verantwoordelijkheden zijn. Je moet rekening houden met de opleidingstijd in de tijdlijn voor de overschakeling. De accountbeheerder heeft mogelijk meer opleiding nodig dan de persoon die de bestellingen plaatst.

Maak een lijst van alle API-integraties

Als je API-integratie gebruikt bij jouw huidige CA, moet er een vergelijkbare integratie worden gemaakt bij uw potentiële nieuwe CA. De potentiële nieuwe CA moet over voldoende API-documentatie beschikken en u ondersteuning en advies kunnen geven tijdens het inwerkproces.

Stap 3 – Maak een kostenraming

Nu je een beter idee hebt van de implicaties van deze overstap, kan je een betere inschatting maken van de kosten verbonden aan het wisselen van Managed SSL-provider. Evalueer wat de potentiële nieuwe CA precies aanbiedt en wat de kosten daarvoor zijn. Meer informatie hierover kan in ons eerste artikel over redenen om van certificeringsinstantie te wisselen. Houd rekening met kosten verbonden aan:

  • Kapitaaluitgaven: Mogelijke eenmalige kapitaaluitgaven zijn (afhankelijk van de gekozen CA) een Certificate Discovery ToolCertificate Management Tool en ontwikkelingskosten voor API-integratie.
  • Operationele uitgaven: Terugkerende, operationele kosten, de tijd nodig om de gebruikers vertrouwd te maken met het nieuwe beheerplatform, verantwoordelijkheden toewijzen enz. De opleidingstijd is uiteraard afhankelijk van de individuele verantwoordelijkheden.
  • Jaarlijkse certificaatkosten: Bij het evalueren van potentiële CA's, moet je rekening houden met de kosten van alle individuele producten en hun waarde op het vlak van functies en functionaliteit.
  • Productdefinities: Elke CA definieert zijn producten anders. Evalueer de complete productlijn en zorg ervoor dat het certificaat aan uw noden voldoet en geen onnodige dure add-ons bevat.
  • Opstartkosten: Alle opstartkosten die geëvalueerd of vereist kunnen zijn.

Stap 4 – Denk na welke opties, functies en voordelen jouw bedrijf nodig heeft

Bij het vergelijken van Managed SSL-providers, moet je in het achterhoofd houden dat je eigenlijk een zakenpartner kiest, niet enkel een product. Dit is een relatie die veel verder gaat dan de levering van een product. Jullie organisatie zal nog lang na de uitgifte van je certificaten op deze CA moeten kunnen vertrouwen. De potentiële nieuwe CA moet de beste beveiliging en geavanceerde SSL-certificaten kunnen bieden en het volgende kunnen doen:

  • Deskundig advies geven over beveiligingsinitiatieven.
  • Rekening houden met de bedrijfsbehoeften bij het doen van aanbevelingen.
  • Jullie tools aanbieden waarmee je kunt controleren of de configuratie van de webserver werd geoptimaliseerd voor maximale beveiliging.

Een Managed SSL-provider moet meer bieden dan enkel certificaten. Kies een bedrijf dat uw beveiligingspartner kan worden dankzij het gebruik van geavanceerde technologie, over de nodige flexibiliteit beschikt om oplossingen op maat van jullie behoeften te ontwikkelen en advies kan geven over de beveiliging van jullie organisatie.

GlobalSign heeft een groot aantal organisaties geholpen om met succes van CA te wisselen. Neem vandaag nog contact met ons op als je wilt praten over overschakelen.

Share this Post

Schrijf je in voor onze blog

Bekijk de Privacy Policy van GlobalSign