“Alles handmatig verlengen is straks gewoon niet meer te doen”

Een Transport Layer Security (TLS)-certificaat beveiligt de communicatie tussen een webbrowser en een server door gevoelige gegevens te versleutelen. Samen met een team van ict-experts zorgen Mario Mieldijk, teamleider Concern Infrastructuur, en Dorian Harmans, Linux/DevOps Engineer, er dagelijks voor dat de informatie van de KNAW-website versleuteld wordt aangeboden aan bezoekers.

Steeds kortere geldigheidsduur

Om die versleuteling voor elkaar te krijgen, moeten alle TLS-certificaten up-to-date zijn. Dat wordt steeds meer werk, omdat de geldigheidsduur van certificaten steeds korter wordt. Een paar jaar geleden waren certificaten nog twee tot drie jaar geldig, maar binnenkort wordt de geldigheidsduur waarschijnlijk verkort naar 47 dagen.

“Een kortere geldigheidsduur biedt aan de ene kant meer veiligheid,” vertelt Mario, “maar aan de andere kant betekent het wel dat je dus veel vaker moet verlengen.” Voor de 700 applicaties en 1400 url’s van KNAW is dat op z’n zachtst gezegd geen kleine klus. “Als we dat voor KNAW allemaal handmatig zouden moeten doen, zou ons dat elk jaar meer dan 700 uur kosten. Dat is gewoon niet meer te doen. Door het proces met behulp van het open protocol Automatic Certificate Management Environment (ACME) in SURFcertificaten te automatiseren, besparen we zo’n 680 uur per jaar.”

Minder foutgevoelig

Ook Dorian Harmans is blij met de automatisering van het proces. “Als je de verlenging van TLS-certificaten door mensen laat monitoren, bestaat de kans dat iemand iets over het hoofd ziet, met alle gevolgen van dien. Door het te automatiseren is het veel minder foutgevoelig.”

Hij legt uit hoe het geautomatiseerde proces werkt: “Op onze systemen hebben we speciale software geïnstalleerd die elke week checkt of er binnenkort certificaten gaan verlopen. Is dat het geval, dan wordt er automatisch een nieuw certificaat aangevraagd voor de betreffende website. Ook wanneer de software een keer niet werkt, hoeven we ons geen zorgen te maken: er is namelijk altijd een back-uptool ‘SSLchecker’ actief, die ongeveer 7 dagen voor het verlopen van het certificaat een e-mail genereert. Mocht dat niet genoeg zijn, dan hebben we ook een dagelijkse controle via kibana/elasticsearch of de certificaten gaan verlopen. Redundantie genoeg dus."

Veiliger en efficiënter

De meerwaarde van SURFcertificaten is volgens Mario en Dorian dat je als lid van SURF profiteert van een centraal en betrouwbaar platform, specifiek ontworpen voor de behoeften van onderwijs- en onderzoeksinstellingen. Dit levert een aantal duidelijke voordelen op.

“Het is prettig om een single point of contact, een centraal aanspreekpunt, te hebben,” zegt Mario. “We kunnen met al onze vragen bij SURF terecht, en hoeven dus niet met meerdere partijen te communiceren over domeinen, certificaten en andere gerelateerde zaken. Dit zorgt ervoor dat problemen sneller en efficiënter worden opgelost. Het vermindert bovendien administratieve rompslomp.” En het is veiliger, vult Dorian aan. “Door alles bij één partij te regelen verminderen we het risico op man-in-the-middle-aanvallen.”

Invloed op aanbestedingen

Volgens Mario en Dorian zorgt de samenwerking met SURF ervoor dat leden altijd gebruik kunnen maken van de best mogelijke oplossing. “Veel onderwijs- en onderzoeksinstellingen hebben bijvoorbeeld behoefte aan geavanceerde API-functionaliteiten,” legt Dorian uit. “Zo’n API-functionaliteit is in ons werkveld echt een must-have, het stond al heel lang op onze wensenlijst. In het aanbestedingstraject heeft SURF die behoefte meegenomen bij het selecteren van het juiste platform. Daardoor kunnen alle SURF-leden hier nu gebruik van maken. Bij een commerciële provider heb je die invloed niet.”

“Bij SURF begrijpen ze hoe de onderzoekswereld werkt, en dat maakt hen de ideale partner,” besluit Mario het gesprek. “We vinden het zelf trouwens ook belangrijk om samen te werken. Dus als andere onderwijs- of onderzoeksinstellingen na het lezen van dit interview willen weten hoe wij dit bij KNAW doen, dan mogen ze uiteraard contact met ons opnemen. We vertellen graag hoe we dit proces hebben ingericht. Al bereiken we maar dat één andere instelling dit proces ook gaat automatiseren, dan is dat al winst.”