手动证书管理与自动证书管理
X.509 证书管理涉及在连接的应用程序、服务器、系统或其他网络部分的网络中购买、部署、更新和撤销证书的过程和程序。几乎所有浏览器客户端和服务器应用程序都会在连接到指定域之前测试证书的有效性。当 Web 浏览器检测到过期证书时,会显示一条消息提示用户,警告服务器不安全。
一些浏览器允许用户通过点击提示继续连接到站点,而防火墙后面的用户可能会被完全阻止。这些警告经常使普通网络用户感到困惑,导致他们中的一些人质疑他们试图访问的公司的声誉。
就在线业务而言,信任会改变世界。对客户保护技术的投资对于数字交易的成功和电子商务网站的托管至关重要。 SSL证书的功能应用和信任标志的有效定位和使用是建立消费者安全的既定方法。在大多数情况下,SSL/TLS 安全标准提供了保护电子通信安全并通知消费者和合作伙伴的方法。
简而言之:当用户看到熟悉的挂锁符号时,他们相信他们的敏感和机密信息受到保护。
自动化证书管理的重要性
尽管大多数网络浏览器在遇到过期证书时都会显示警告消息,但这只会让最终用户感到困惑,因为他们最终会怀疑网站本身的可信度。 一些应用程序甚至在遇到过期证书时会突然终止连接,这对于服务的可靠性也不是一个好兆头。 所有这些都可能导致收入损失,并最终影响服务的品牌价值。 因此,在您的组织中实施自动化数字证书解决方案至关重要。
您的自动化证书管理级别是多少?
虽然数字证书在正确配置和部署时工作可靠,但许多组织并未自动化其证书管理流程。 一些组织发现有必要微调行业推荐的最佳实践,以适应其特定 PKI 标准和政策范围内的不同 PKI 用例。
然而,尽管许多安全专家,如 NIST,为组织发布了自动化证书管理的指南,以最大限度地减少人为错误并最大限度地提高效率,但仍然很常见一些组织遵循允许用户创建证书签名请求 (CSR) 的临时流程 ) 并手动颁发证书。
无论用例如何,证书的生命周期都需要精心管理。 以下是数字证书生命周期的典型阶段:
-
请求或续订:对签名数字证书或证书续订的初始请求到期。
-
批准:根据提供的信息批准或拒绝请求。
-
生成和部署:具有请求属性的数字证书的生成和分发。
-
使用和监控: 证书服务器的配置,实时监控,上报证书状态和到期使用期限的时间,或者它。
-
吊销:数字证书可能因以下原因而被吊销:
-
密钥泄露
-
CA 被攻陷
-
替换 SSL
-
域名所有者变更
-
域名未使用
如果您的数字证书被吊销或过期会怎样?
证书吊销和续订是证书管理中必不可少的任务。 CA 颁发具有有限有效期的证书。但是,由于密钥泄露,证书可能会在到期前变坏。
在这种情况下,证书需要在到期前被吊销和更新。在到期前吊销证书的另一个原因是用户的姓名、公司或证书中的任何其他信息发生了变化。
这种证书的撤销可以手动完成,也可以通过证书撤销列表自动完成。单个证书的意外到期或撤销可能会给企业带来完全可以避免的安全风险、收入损失和潜在的品牌损害。当证书过期时,身份验证过程将不再有效,因为证书验证失败,从而导致应用程序中断,或者在更极端的情况下,可能导致 IT 服务中断。
在 Keyfactor 赞助的 2020 年研究中,Ponemon Institute 对美国 596 名 IT 和 IT 安全从业者进行了调查,发现 74% 的受访者表示数字证书会导致意外停机中断。而 46% 的受访者认为,将不安全数字身份风险降至最低的首要任务是了解到期日期。
与证书相关的服务器中断的另一个常见原因是手动管理证书时出现的人为错误。
管理不善的证书可能允许黑客欺骗内容或执行拒绝服务、网络钓鱼和中间人攻击。为了冒充公共域、应用程序和受信任的网络,攻击者渗透公共或内部 CA 并颁发未经授权的流氓证书。现在,在该 CA 信任链中颁发的所有证书都受到损害,必须撤回,因为它们不再具有可验证的完整性。
手动证书管理的风险
当成长中的组织开始使用临时和手动数字管理方法(通常因部门和职能而异)时,库存很快就会变得太大,无法确保安全性免受中断风险的影响。
不幸的是,电子表格本身无法根据新信息和法规自动更新。在证书到期之前它不会通知您。它无法仔细检查以确保在其单元格中输入的内容是准确和最新的。虽然肯定比试图记住您的证书到期日期更好,但电子表格仍然很容易出错,并为您的公司和客户的机密信息增加不必要的风险。
你的证书很有价值。您的应用程序的安全性或数据的安全性可能会在坏人手中受到损害。手动数字流程和恶意购买会推高成本并触发安全事件,从而导致代价高昂甚至灾难性的中断。
同样,需要快速更换证书的意外事件(例如 Heartbleed 漏洞、加速生命周期结束的 SHA-1 哈希)几乎不可能响应分散和手动管理系统的使用。
组织无法及时手动替换大量证书以响应 CA 泄露等大规模加密事件。积极主动地,组织应尽可能地自动化证书管理,以实现证书的注册、安装、监控和更换,或者应认真重新考虑继续使用可能导致操作安全风险的手动方法的理由。
自动化程序有助于解决手动管理的许多问题。
传统上用于保护企业系统资源的数字证书已成为任何网站必不可少的安全元素。如今,证书非常重要,无法以临时的手动方式处理。强大的 PKI 证书管理应用程序现在是 IT 必不可少的。事实上,很少有业务流程像有效的企业证书管理一样重要。
从历史上看,许多组织发现从手动方法过渡到自动化方法具有挑战性——尽管转向自动化可以显着减少他们的工作和风险。 但是,新的自动化工具(例如 DevOps)和协议增加了可以成功执行自动化证书管理的方法和选项。 因此,组织应为自动化定义明确的指导方针和策略,以及何时因操作或组织限制而需要进行持续手动控制。
自动化证书管理的好处
在应用程序开发、测试和实施生命周期的每个阶段都可能需要证书。 发电延迟会影响后续活动。 集中和自动化的证书管理提供了几个基本功能:
-
事件驱动自动化:基于工作流的多步骤流程自动化。
-
文档签名证书:管理用于对官方文档进行数字签名的证书。
-
警报和监控:为证书组提供持续可见性和到期警报。
-
基于 API 的集成:提供与 Rapid7 漏洞管理系统的无缝集成。
-
自助服务门户:人员可以通过门户自行进行证书流程。
-
全周期证书管理:集中式证书流程,如续订、吊销、配置等。
输入
然后,每个证书都可以自动导入并备份到行业领先的完全集成的企业解决方案中,使您的组织能够恢复由原始用户加密的宝贵数据。从系统目录或 CSV 文件自动导入简化了客户端证书分发,并通过自定义工作流程帮助管理证书管理。
追踪
管理全方位的数字证书是一项关键但具有挑战性的责任。由于许多数字证书可以在整个组织中分发,因此手动跟踪证书到期可能很困难。数字证书到期自动跟踪可帮助您主动更新证书并降低因无效数字证书导致的网站故障和服务停机的可能性。
行政
自动化证书管理旨在显着减少管理障碍和安全部署时间,从而对您的安全基础设施和成本产生明确和直接的改进。通过证书自动化,您可以将管理员添加到 PKI 帐户,每个管理员都有其访问控制详细信息和权限。
监控
自动事件日志监控是证书管理的关键部分。 如果受害者实施了适当的事件日志监控和警报,则可以及早发现许多受损密钥。 应监视管理员日志以创建、修改或删除用户或计算机帐户、安全组或分发组; 重命名、禁用或激活用户或计算机帐户时; 或修改用户或计算机密码时。
问责制
问责制是向审计员证明证书是按照企业定义的政策在整个企业内进行管理的关键。 数字证书的问责制对于验证与数字证书相关的过程是否可以被监控以检测异常情况至关重要。 此外,可量化的责任和监控可用于衡量和报告与生命周期相比的活动水平,并使用趋势预测生命周期内的活动水平。
何时切换到自动证书管理
简单的答案,尽快。虽然中小型企业可能只需要管理几个证书,但成长中的企业面临着一系列不同的问题。知名度是成长型公司面临的主要障碍之一。如果您看不到所有证书,则无法在到期前更换它们。
随着域、应用程序、设备和证书使用的速度不断加快,您需要一种更好、可扩展的方式来管理这一切。随着数字化转型扩展到云、网络和物联网中的项目,它只是进一步表明了这一点。因此,完整的证书发现是迈向任何强大安全态势的第一步。自动证书扫描工具通过查看证书活动日志来识别和监控恶意证书。
自动证书管理解决方案通过自动发现创建所有证书的全面视图,自动发现扫描整个网络并发现每个证书。例如,Keyfactor Certificate Automation 已经过测试和证明,即使在最动态和要求最高的 PKI 环境中(从 500 到 500M+ 证书)也可以扩展,所有这些都只需一个订阅许可证。
文章来源keyfactor ,WoTrus 整理翻译,转载请注明出处