API-sleutelrotatie is de gewoonte om de geheime sleutels waarmee het ene systeem met het andere praat regelmatig te vervangen, zodat een oude sleutel geen enkele deur meer opent. Een API-sleutel is in feite een wachtwoord voor software, en net als elk wachtwoord wordt hij veiliger naarmate je hem vaker wijzigt.

Stel je de sloten van een vakantiehuis voor. Als de schoonmaker, de laatste drie gasten en een klusjesman allemaal nog een werkende kopie van dezelfde sleutel hebben, ben je het overzicht kwijt over wie er naar binnen kan. Het slot af en toe vervangen maakt elke oude kopie in een klap waardeloos. Een API-sleutel roteren doet precies dat voor je software: op het moment dat de nieuwe sleutel live gaat, is elke gelekte of vergeten kopie van de oude dode ballast.

Het lastige is om het te doen zonder iets te breken. Je maakt de nieuwe sleutel aan, werkt de draaiende app bij, controleert of het werkt en zet pas daarna de oude buiten dienst. Dit hoort nauw samen met goed secrets management, en een duidelijke audit log laat precies zien wanneer elke sleutel is uitgegeven en ingetrokken.

De echte winst zie je op een slechte dag. Lekt een sleutel toch, bijvoorbeeld doordat hij in een openbare code-repository belandt, dan beperkt rotatie de schade tot het venster vóór de volgende wissel in plaats van de deur jarenlang open te laten staan. Daarom verkorten teams de cyclus voor hun gevoeligste sleutels en roteren ze meteen na een vermoedelijke datalek, in plaats van op de kalender te wachten.

Bij TopDevs automatiseren we sleutelrotatie in de systemen die we bouwen, zodat een gelekte sleutel een korte houdbaarheid heeft en de hele wissel zonder downtime verloopt.