數字證書,作為網路世界的身份證,提供了一種在Internet上驗證通訊實體身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。譬如,Web Server通過提供自己的數字證書來證明自己的身份,使用者得以確認所訪問的網站就是想要訪問的網站,建立起通訊雙方的信任關係。數字證書應用除伺服器證書外,還包括電子郵件證書,程式碼簽名證書,文件簽名證書等。保證證書的有效性對使用者和企業來說都是至關重要的。
就在2018年12月22日,因美國政府關門導致許多 TLS 證書已經過期,證書無人續訂,無人管理,這使得許多站點無法被公眾訪問。該問題還影響到了與.gov域相關的許多證書,使用者無法完全訪問這些站點。證書若不續簽,我們可能會看到更多的政府網站出現問題。
在當代,證書管理已成為企業的主要負擔。企業規模越大,管理問題就越嚴峻。對證書管理策略沒有前瞻性會給您帶來什麼樣的問題?
死亡五指
使用武俠風的標題,揭示證書管理不善會帶來的五個噩夢場景:
▶ 證書到期導致的服務意外中斷
▶ 糟糕的證書/金鑰管理導致的稽核失敗或違規
▶ 伺服器證書和金鑰洩露/濫用
▶ 程式碼簽名證書和金鑰洩露/濫用
▶ CA洩露; 流氓CA,用於MITM或網路釣魚(流氓證書)
這些都是當你的證書過期時會發生的事情,任何一個場景的發生都會帶給您“可觀”的成本。
一切始於可見性
對於大多陣列織而言,大規模證書管理的可見性是證書管理三大痛點之一。 他們不知道他們有多少證書和金鑰,他們不知道是誰訂購了證書,他們也不知道證書什麼時候到期。有調查顯示,該痛點比例為71%。
數字證書面臨的最大挑戰
許多組織表示他們沒有足夠的的IT安全人員來維護和保護金鑰和證書,不知道IT安全需要管理多少金鑰和證書,更不用說在整個生命週期內保護金鑰和證書了。
如何幫助企業避免證書管理的痛點?在它反噬之前,企業需要先一步的採取行動了。
優質的證書管理平臺
通過投資優質的證書管理平臺,可以避免證書管理的痛點。 一些供應商都有很好的相關產品,譬如KeyManager(官網地址:keymanager.org/),它掃描您的網路並管理所有發現的證書,提供證書可見性和管理證書生命週期所有階段的介面。
證書管理給人的感覺是昂貴且複雜的, 但並非如此。 從長遠來看,這不是一個沉沒成本(已經付出且不可收回的成本),這是一項投資,因為證書管理不善的代價是更加驚人的。
【來自SSL中國】