小问题,大灾难 - 如何避免证书过期?

我们经常会忽略企业中的一些不断变化的细微的活动的影响,尤其是那些看似很小或无关紧要的部分,只有当某个严重错误产生时,我们才会意识到它的重要性。证书管理就是个很好的例子。
 

2019 年 5 月 4 日,由于开源浏览器公司 Mozilla 未能及时处理证书更新问题,而导致全球数百万 Firefox 用户无法使用 Firefox 浏览器扩展插件。调查发现,问题的根本原因是一个过期的中级证书,该公司使用该证书对 Firefox 扩展进行数字签名。其导致的后果不仅仅是对用户禁用扩展,用户甚至不能重新安装或重新激活 Firefox 插件。

 

 
 

 
忽视数字证书管理的代价
这种由于过期证书而导致损失的例子已经不是第一次了。Equifax、领英 (LinkedIn) 和爱立信(Ericsson) 等科技巨头都曾一度忽视数字证书管理的重要性,而成为数据泄露、服务宕机等其它严重后果的受害者。

 
Ponemon 发布了一份最新报告,清晰地表明了忽视数字身份和证书管理对企业的影响:

●在接受调查的 600 名 IT 安全专业人士中,74% 的受访者表示,非托管的安全证书已经并将继续是导致意外宕机的主要原因之一。

●在未来两年内,企业因过期证书而经历服务宕机的预期平均损失将为 1110 万美元。

●71% 的受访者表示,他们不知道公司目前有多少密钥和证书。

这些数字表明,尽管人们已经意识到证书生命周期管理的必要性,但在实施方面,大多数企业还有很长的路要走。
 
自动化是最好的解决方案
为什么要实施自动化? 因为人会犯错误——而且会犯很多错误。
 
虽然更新证书不是什么复杂的事情,但却是一项极其重要的任务。对于管理员来说,手动跟踪部署到数百台服务器的数千个证书的过期日期是相当有难度的,特别是对于大型企业。想象一下,你必须手动发现企业中的所有活动的 SSL 证书,同时监视它们的使用情况并更新即将到期的证书——中间不能遗漏任何一个证书。不难看出,手动管理证书是一项极其艰巨且极易出错的任务。

因此,处理此场景的最佳方法是对所有证书管理操作实施自动化。理想情况下,企业的证书管理策略应该包括一个能够简化和自动化证书生命周期管理的解决方案。 除了发现所有现有的证书以及将它们放在一个中央存储库, 还要从第三方证书颁发机构请求和获取证书, 将证书部署到各自的终端服务器, 并在证书即将逾期时通知管理员,, 而这些过程都由单一管理平台完成。

总的来说,企业应该使用一个可以进行集中控制和自动化生命周期管理 (从获取、部署、跟踪、更新、使用和逾期管理) 的管理平台,用于管理网络中的所有证书。
 
ManageEngine 提供 PIM 套件解决方案,它内含 Password Manager Plus 与 Key Manager Plus,是一个面向企业的密码安全管理套件,用于全面管理服务器、网络设备、数据库以及各种应用程序的密码,以及各种系统账号、文档、数字证书等。帮助集中存储密码信息、安全共享密码、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用,实现企业密码的安全管理和使用。