2019年5月4日,由于開源瀏覽器公司Mozilla未能及時處理證書更新問題,而導致全球數百萬Firefox用戶無法使用Firefox瀏覽器擴展插件。調查發現,問題的根本原因是一個過期的中級證書,該公司使用該證書對Firefox擴展進行數字簽名。其導致的后果不僅僅是對用戶禁用擴展,用戶甚至不能重新安裝或重新激活Firefox插件。
忽視數字證書管理的代價
這種由于過期證書而導致損失的例子已經不是第一次了。Equifax、領英(LinkedIn)和愛立信(Ericsson)等科技巨頭都曾一度忽視數字證書管理的重要性,而成為數據泄露、服務宕機等其它嚴重后果的受害者。
Ponemon發布了一份最新報告,清晰地表明了忽視數字身份和證書管理對企業的影響:
●在接受調查的600名IT安全專業人士中,74%的受訪者表示,非托管的安全證書已經并將繼續是導致意外宕機的主要原因之一。
●在未來兩年內,企業因過期證書而經歷服務宕機的預期平均損失將為1110萬美元。
●71%的受訪者表示,他們不知道公司目前有多少密鑰和證書。
這些數字表明,盡管人們已經意識到證書生命周期管理的必要性,但在實施方面,大多數企業還有很長的路要走。
自動化是最好的解決方案
為什么要實施自動化?因為人會犯錯誤——而且會犯很多錯誤。
雖然更新證書不是什么復雜的事情,但卻是一項極其重要的任務。對于管理員來說,手動跟蹤部署到數百臺服務器的數千個證書的過期日期是相當有難度的,特別是對于大型企業。想象一下,你必須手動發現企業中的所有活動的SSL證書,同時監視它們的使用情況并更新即將到期的證書——中間不能遺漏任何一個證書。不難看出,手動管理證書是一項極其艱巨且極易出錯的任務。
因此,處理此場景的最佳方法是對所有證書管理操作實施自動化。理想情況下,企業的證書管理策略應該包括一個能夠簡化和自動化證書生命周期管理的解決方案。除了發現所有現有的證書以及將它們放在一個中央存儲庫,還要從第三方證書頒發機構請求和獲取證書,將證書部署到各自的終端服務器,并在證書即將逾期時通知管理員,,而這些過程都由單一管理平臺完成。
總的來說,企業應該使用一個可以進行集中控制和自動化生命周期管理(從獲取、部署、跟蹤、更新、使用和逾期管理)的管理平臺,用于管理網絡中的所有證書。
ManageEngine提供PIM套件解決方案,它內含PasswordManagerPlus與KeyManagerPlus,是一個面向企業的密碼安全管理套件,用于全面管理服務器、網絡設備、數據庫以及各種應用程序的密碼,以及各種系統賬號、文檔、數字證書等。幫助集中存儲密碼信息、安全共享密碼、實施標準的密碼策略、跟蹤密碼訪問歷史、控制用戶非法使用,實現企業密碼的安全管理和使用。
