數字證書,作爲網絡世界的身份證,提供了一種在Internet上驗證通信實體身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。譬如,Web Server通過提供自己的數字證書來證明自己的身份,用戶得以確認所訪問的網站就是想要訪問的網站,建立起通信雙方的信任關係。數字證書應用除服務器證書外,還包括電子郵件證書,代碼簽名證書,文檔簽名證書等。保證證書的有效性對用戶和企業來說都是至關重要的。
就在2018年12月22日,因美國政府關門導致許多 TLS 證書已經過期,證書無人續訂,無人管理,這使得許多站點無法被公衆訪問。該問題還影響到了與.gov域相關的許多證書,用戶無法完全訪問這些站點。證書若不續簽,我們可能會看到更多的政府網站出現問題。
在當代,證書管理已成爲企業的主要負擔。企業規模越大,管理問題就越嚴峻。對證書管理策略沒有前瞻性會給您帶來什麼樣的問題?
死亡五指
使用武俠風的標題,揭示證書管理不善會帶來的五個噩夢場景:
- 證書到期導致的服務意外中斷
- 糟糕的證書/密鑰管理導致的審覈失敗或違規
- 服務器證書和密鑰泄露/濫用
- 代碼簽名證書和密鑰泄露/濫用
- CA泄露; 流氓CA,用於MITM或網絡釣魚(流氓證書)
這些都是當你的證書過期時會發生的事情,任何一個場景的發生都會帶給您“可觀”的成本。
| 場景 | 預測成本 |
| 證書到期導致的服務意外中斷成本 | $11,122,100 |
| 由於無文檔或糟糕的密鑰管理導致的審覈失敗/不合規的成本 | $14,411,500 |
| 服務器證書和密鑰濫用的成本 | $13,423,250 |
| 代碼簽名證書和密鑰濫用的成本 | $15,025,150 |
| CA泄露或用於MITM或網絡釣魚的流氓CA的成本 | $13,219,850 |
| 總成本 | $67,201,850 |
一切始於可見性
對於大多數組織而言,大規模證書管理的可見性是證書管理三大痛點之一。 他們不知道他們有多少證書和密鑰,他們不知道是誰訂購了證書,他們也不知道證書什麼時候到期。有調查顯示,該痛點比例爲71%。
數字證書面臨的最大挑戰
許多組織表示他們沒有足夠的的IT安全人員來維護和保護密鑰和證書,不知道IT安全需要管理多少密鑰和證書,更不用說在整個生命週期內保護密鑰和證書了。
如何幫助企業避免證書管理的痛點?在它反噬之前,企業需要先一步的採取行動了。
優質的證書管理平臺
通過投資優質的證書管理平臺,可以避免證書管理的痛點。 一些供應商都有很好的相關產品,譬如KeyManager(官網地址:https://keymanager.org/),它掃描您的網絡並管理所有發現的證書,提供證書可見性和管理證書生命週期所有階段的界面。
證書管理給人的感覺是昂貴且複雜的, 但並非如此。 從長遠來看,這不是一個沉沒成本(已經付出且不可收回的成本),這是一項投資,因爲證書管理不善的代價是更加驚人的。
【來自SSL中國】