Waar ben je naar op zoek?

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
Student achter laptop in bibliotheek vanaf verhoging met koptelefoon
Praktijkverhaal

KNAW gebruikt SURFcertificaten via ACME voor certificatenbeheer

“Alles handmatig verlengen is straks gewoon niet meer te doen”

Eén verlopen TLS-certificaat kan ervoor zorgen dat duizenden studenten en onderzoekers niet meer bij hun gegevens kunnen. Zo’n fout kun je je als onderwijs- of onderzoekinstelling niet permitteren. De oplossing ligt in het automatiseren van ict-processen. Twee ict-experts van de Koninklijke Nederlandse Akademie van Wetenschappen (KNAW-HuC) vertellen waarom zij via SURF kozen voor het automatisch beheren van SSL-certificaten.

In het kort

Wie: Mario Mieldijk en Dorian Harmans
Functie: teamleider Concern Infrastructuur, Linux/DevOps Engineer.
Organisatie: KNAW
Dienst: SURFcertificaten
Uitdaging: het handmatig beheren van honderden TLS-certificaten wordt onhoudbaar door steeds kortere geldigheidsduur; dit vergroot de kans op fouten en kost jaarlijks honderden uren.
Oplossing: door gebruik van ACME-protocollen en SURFcertificaten is het verlengen van TLS-certificaten volledig geautomatiseerd. Dit verkleint de foutkans, verhoogt de betrouwbaarheid en bespaart jaarlijks honderden uren handmatig werk.

Een Transport Layer Security (TLS)-certificaat beveiligt de communicatie tussen een webbrowser en een server door gevoelige gegevens te versleutelen. Samen met een team van ict-experts zorgen Mario Mieldijk, teamleider Concern Infrastructuur, en Dorian Harmans, Linux/DevOps Engineer, er dagelijks voor dat de informatie van de KNAW-website versleuteld wordt aangeboden aan bezoekers.

Steeds kortere geldigheidsduur

Om die versleuteling voor elkaar te krijgen, moeten alle TLS-certificaten up-to-date zijn. Dat wordt steeds meer werk, omdat de geldigheidsduur van certificaten steeds korter wordt. Een paar jaar geleden waren certificaten nog twee tot drie jaar geldig, maar binnenkort wordt de geldigheidsduur waarschijnlijk verkort naar 45 dagen.

“Een kortere geldigheidsduur biedt aan de ene kant meer veiligheid,” vertelt Mario, “maar aan de andere kant betekent het wel dat je dus veel vaker moet verlengen.” Voor de 700 applicaties en 1400 url’s van KNAW is dat op z’n zachtst gezegd geen kleine klus. “Als we dat voor KNAW allemaal handmatig zouden moeten doen, zou ons dat elk jaar meer dan 700 uur aan doorlooptijd kosten. Dat is gewoon niet meer te doen. Door het proces met behulp van ACME in SURFcertificaten te automatiseren, besparen we zo’n 680 uur per jaar.”

Minder foutgevoelig

Ook Dorian Harmans is blij met de automatisering van het proces. “Als je de verlenging van TLS-certificaten door mensen laat monitoren, bestaat de kans dat iemand iets over het hoofd ziet, met alle gevolgen van dien. Door het te automatiseren is het veel minder foutgevoelig.”

Hij legt uit hoe het geautomatiseerde proces werkt: “Op onze systemen hebben we speciale software geïnstalleerd die elke week checkt of er binnenkort certificaten gaan verlopen. Is dat het geval, dan wordt er automatisch een nieuw certificaat aangevraagd voor de betreffende website. Ook wanneer de software een keer niet werkt, hoeven we ons geen zorgen te maken: er is namelijk altijd een back-uptool ‘SSLchecker’ actief, die ongeveer 7 dagen voor het verlopen van het certificaat een e-mail genereerd. Mocht dat niet genoeg zijn hebben we ook een dagelijkse controle via kibana/elasticsearch of de certificaten gaan verlopen. Redundantie genoeg dus.

Veiliger en efficiënter

De meerwaarde van SURFcertificaten is volgens Mario en Dorian dat je als lid van SURF profiteert van een centraal en betrouwbaar platform, specifiek ontworpen voor de behoeften van onderwijs- en onderzoeksinstellingen. Dit levert een aantal duidelijke voordelen op.

“Het is prettig om een single point of contact, een centraal aanspreekpunt, te hebben,” zegt Mario. “We kunnen met al onze vragen bij SURF terecht, en hoeven dus niet met meerdere partijen te communiceren over domeinen, certificaten en andere gerelateerde zaken. Dit zorgt ervoor dat problemen sneller en efficiënter worden opgelost. Het vermindert bovendien administratieve rompslomp.” “En het is veiliger,” vult Dorian aan. “Door alles bij één partij te regelen verminderen we het risico op man-in-the-middle-aanvallen.”

Invloed op aanbestedingen

Volgens Mario en Dorian zorgt de samenwerking met SURF ervoor dat leden altijd gebruik kunnen maken van de best mogelijke oplossing. “Veel onderwijs- en onderzoeksinstellingen hebben bijvoorbeeld behoefte aan geavanceerde API-functionaliteiten,” legt Dorian uit. “Zo’n API-functionaliteit is in ons werkveld echt een must-have, het stond al heel lang op onze wensenlijst. In het aanbestedingstraject heeft SURF die behoefte meegenomen bij het selecteren van het juiste platform. Daardoor kunnen alle SURF-leden hier nu gebruik van maken. Bij een commerciële provider heb je die invloed niet.”

“Bij SURF begrijpen ze hoe de onderzoekswereld werkt, en dat maakt hen de ideale partner,” besluit Mario het gesprek. “We vinden het zelf trouwens ook belangrijk om samen te werken. Dus als andere onderwijs- of onderzoeksinstellingen na het lezen van dit interview willen weten hoe wij dit bij KNAW doen, dan mogen ze uiteraard contact met ons opnemen. We vertellen graag hoe we dit proces hebben ingericht. Al bereiken we maar dat één andere instelling dit proces ook gaat automatiseren, dan is dat al winst.”

Aan de slag met ACME

De ervaring van KNAW laat zien hoeveel tijd, zekerheid en efficiëntie er te winnen is met het automatiseren van TLS-certificaatbeheer. Overweeg jij dit ook voor jouw onderwijs- of onderzoeksinstelling? Op de SURF-wiki vind je alle informatie die je nodig hebt om zelf aan de slag te gaan met ACME en SURFcertificaten.

Naar de SURF-wiki

Gerelateerde onderwerpen: