避免SSL证书管理中的常见错误

安全 数据安全
许多大型公司都需要管理很多证书,不犯错误而依靠人工管理好这些证书是不可能的。而自动化工具可以解决企业的证书管理难题。

如果你有大量的Web应用,管理所有的SSL证书可能会很困难。与企业SSL证书管理的相关关键任务有许多,而忽视或错误地处理任何一个任务都会导致Web应用被利用。在本文中,我们将看到几个在实施和管理SSL证书方面最常见的错误,并讨论如何管理这些证书。

如今,许多大型公司发现自己管理着成千上万的证书,不犯错误而依靠人工管理好这些证书是不可能的。

对于刚开始涉足SSL证书管理的公司来说,其涉及的许多任务可能很惊人。例如,证书需要购买、部署、到期更新等。这些都要花费时间,当许多企业的几十或几百个应用或域中的证书成倍增加时,问题尤为严重。

这就涉及到一个问题:确保每一个证书都适合于与之配对的web应用。是否需要比较昂贵的扩展认证证书呢(因为这种证书是由可信的CA提供并审查的)?或者保险系数稍低但便宜的证书适合企业呢?比如,对于非面向公众的web应用是否合适?

证书厂商所提供的产品组件令人迷惑。目前,有几种不同的验证等级、不同的哈希类型、长度和保证(实际上是保护终端用户而不是证书所有者)。要知道某个特定应用需要哪类证书是很困难的。

更糟糕的是,研究人员已经发现,超过半数的公司在某点上会丢失数字证书,或者公司网络上证书的由来无从查起。这是因为,开发者或其它雇员创建了一个证书却没有告诉它人,以至于别人都不知道。

多数公司借助电子数据表人工管理大量的数字证书。这会导致错误,比如数字证书丢失、不匹配或标签错误等。证书有可能在不经意间就到期,这意味着CA不再考虑网站或web应用的安全性和可信性。如果受感染的Web应用是面向公众的,这有可能成为一个代价很高的错误,它还有可能导致企业的声誉受损,或者访问者的浏览器阻止访问整个网站。这是很多知名系统中断的原因,也常常是管理员调查的最终原因之一,从而导致更多的宕机时间。

如果发行企业证书的CA受到危害,就会导致另一个问题,比如2011年的DigiNotar和Comodo,以及今年初的TurkTrust,证书就会被其它CA废除,所以在一个客户端连接到被感染的服务器时,证书就不再合法。如果在整个企业水平上没有适当的SSL证书管理,要判断企业有多少证书(如果有的话)不合法就不可能了。

幸运的是,仍有方案可以解决企业的证书管理难题,其中之一就是自动化。自动化工具可以搜索网络,并记录所发现的证书。这种工具通常将证书分配给企业所有者,并管理证书(虽然多数证书并不支持通过不同CA进行更新)的自动更新。它还可以检查证书是否部署正确,用以避免错误地使用一个老证书。然而,自动化的工具并不完美,而且要求人工干预,因为扫描器有可能遗漏存放在它无法访问位置的证书。

在购买这些自动化工具时,要确保软件能够管理来自所有CA的证书。有些软件只能管理特定CA颁发的证书,而且容易遗漏企业域上的某些证书,即使你相信你仅使用一个供应商也是如此。

规划和管理某些事件的完善的企业证书极其重要。应当编写并交流管理过程,详述在CA遭到攻击后该做什么,以及如何替换企业网络中的证书。如果没有提前计划好,追查来自遭受损害CA的证书将会很费时间。

本文讨论了与人工管理数字证书相关的问题。如果您的企业是依靠人工管理SSL证书,现在也许正是投资购买自动化方案的时候,即使你认为你了解所有的证书,使用后你可能会大吃一惊。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2010-09-14 15:17:51

2009-04-07 15:41:55

2009-06-22 15:01:00

java项目常见错误

2020-08-03 10:13:29

CIO项目管理技术

2020-03-02 08:35:05

物联网实施物联网IOT

2018-08-06 22:06:06

云迁移云端云计算

2016-03-19 12:13:36

2023-01-09 15:16:17

2020-01-31 18:03:49

编码开发代码

2020-01-30 18:00:18

编程语言软件人工智能

2019-08-13 11:32:55

物联网技术大数据

2023-05-11 09:06:50

错误IT培训

2020-05-21 18:38:49

JavaScript前端技术

2013-08-29 09:51:33

SSL证书SSL证书管理

2024-09-18 11:27:57

2013-08-15 09:47:07

云迁移云技术

2015-01-14 09:29:35

2023-05-06 10:50:41

IT培训IT团队

2020-11-04 10:11:22

区块链块链技术

2018-03-21 07:01:59

工业物联网IIoT物联网
点赞
收藏

51CTO技术栈公众号