據外媒 12 月 11 日報導，國外軟體開發人員發現微軟意外暴露了一個 Dynamics 365的 TLS 證書和私鑰。該TLS證書在用於使用者驗收測試的Dynamics 365沙箱環境中被公開至少超過 100 天。SSL證書用於加密使用者和伺服器之間的 web 通訊，若攻擊者提取出證書，那麼將可以訪問任何沙箱環境，導致中間人（MiTM） 攻擊等。​

上個月也有國外白帽宣稱發現中國企業大疆創新的網站SSL證書私鑰，意外在Github上公佈長達四年。SSL證書私鑰的安全問題引起關注。

什麼是SSL證書私鑰？

SSL/TLS協議是一種網路通訊安全協議，採用公鑰加密技術和對稱加密技術，對客戶端和伺服器端之間的資料傳輸進行加密，確保資料傳輸的機密性、完整性以及通訊方身份真實性。

要使用SSL協議，伺服器必須擁有有效的SSL證書，SSL證書是遵循SSL/TLS協議的數字證書，包含一對唯一匹配的公鑰和私鑰。SSL證書的金鑰對是由網站所有者通過Web伺服器軟體自己產生並儲存在Web伺服器軟體的金鑰庫中，或者在Web伺服器軟體使用的SSL加速卡（加密硬體）中產生並儲存在加密硬體中。網站所有者向CA機構申請SSL證書時，證書請求檔案中只包含公鑰，不包含私鑰。證書私鑰由網站儲存，證書請求檔案提交給CA機構進行認證和簽名後對外公開。

在證書生命週期內保護您SSL證書私鑰的安全至關重要。公鑰和私鑰本身不直接用來加解密資料內容的，而是用來協商演算法、安全交換會話金鑰，SSL證書私鑰洩露會導致加密會話的金鑰洩露，進而造成網站資料洩露。

如何保護SSL證書私鑰安全？

沃通CA建議，SSL證書私鑰直接影響伺服器安全，保護企業SSL證書和私鑰的安全應該是企業的優先事項。企業應清楚企業擁有多少私鑰和證書以及它們所在的位置和用途，針對各類網站、移動應用的伺服器SSL證書私鑰進行安全規範的管理，採取足夠的安全措施、配合安全管理措施和技術手段、落實管理責任、制定應急響應措施，從而有效地防止SSL證書私鑰洩露。比如：

1.使用最小許可權原則：對系統和網路的訪問實施多因素身份驗證；除了必要的網路埠之外，阻止其他所有網路埠；安裝所有可用的安全更新並執行防病毒掃描程式。

2.金鑰儲存在安全的加密硬體裝置中：金鑰儲存在通用計算機上容易受到攻擊，加密的硬體裝置不易受到攻擊，並受到大多數重要應用程式的信任。

3.監控金鑰和證書可信度並修復任何安全漏洞，使攻擊者很難控制計算機系統和網路。

4.為私鑰設定複雜的保護密碼。

​沃通原創文章，轉載請註明出處

沃通超真SSL Pro通配型證書，買一年送一年！線上諮詢https://www.wosign.com/marketing/ssl-sale-201712.htm