就在6月27号Google Chrome安全团队宣称Chrome在2024年10月31日之后将不再信任多个Entrust根证书。这一事件对行业有着比较大的影响,并且在网络安全领域引起了广泛的关注和深刻的反思。
浏览器公司权力过高
可能导致整个可信CA行业的不可信
Entrus,这个曾被誉为历史最悠久的CA之一,如今却面临被主流浏览器抛弃的命运。揭示了可信证书会随时不可信或者说只是暂时可信。它的遭遇,如同一块多米诺骨牌,引发了行业内外对CA行业信任度的广泛质疑。所谓可信CA证书,其实只是建立在浏览器公司认可之上的脆弱泡沫,随时可能破灭。
浏览器产商(Chrome,Firefox等)越来越像行业的“独裁者”,凭借其市场地位对CA进行的任意裁决。这种“权力游戏”不仅让CA机构感到自身地位的卑微,也让整个行业的公正性蒙上了一层阴影,不确定谁会是下一个被“取消信任”的对象。
目前还可信的CA就安全可信吗?
Entrust被取消信任后,笔者发现很多同行开始抢Entrust客户,在官网上可以提供Entrust客户转移方案等。看上去Entrust在菜单上,各大CA在餐桌上,而实际上所有CA都在菜单上,Google、微软、Firefox等浏览器或操作系统公司才是在餐桌上。
· 2018年Symantec被取消信任(后通过“合并”Digicert,以换品牌的方式重新提供服务)
· 2017年国内沃通被取消信任(后通过贴牌的方式继续提供服务)
各种案例说明,在这个由浏览器公司主导的规则下,没有永恒的可信,只有暂时的可信。而对于最终用户而言,在寻找新临时可信CA的同时,也需要思考如何建立更加稳固的可信体系。仅仅依赖某一家临时可信的CA机构认证是远远不够的,更重要的是要有多家CA的选择,并建立灵活高效的证书管理流程,以迅速应对潜在变化,确保服务连续性不受影响。
SSL证书自动化运维工具
企业应对“临时可信CA“的最终解决方案
在接连的CA被不受信任事件发生后,企业需要拥有多CA的SSL证书自动化运维工具就显得格为重要!
多CA的SSL自动化运维系统可以在企业遇到CA证书不可信时,帮助企业完成一键替换。
除了一键更换证书品牌之外还需要解决大规模部署SSL证书的难题。能够对证书完成自动申请、下载、续签、重签、吊销以及换品牌等操作。此外自动化运维系统还需要具备对证书的自动发现、自动续费、自动部署、实时监控、日志管理、多公有CA、提前预警和合规判断等。
SSL证书自动化运维九大基础功能
1. 各种证书的操作方式(申请、下载、续签、重签、吊销以及换品牌)。
2. 自动化发现部署的所有证书,避免运维人员手动的分别上传证书。
3. 自动续费会在证书到期前自动续费购买证书。
4. 自动部署将在购买证书后将证书自动推送到指定位置(支持多平台)。
5. 实时监控能够监控证书的实时状态、证书到期、证书部署情况等。
6. 日志管理确保了数字证书管理的透明性和可追溯性。
7. 多公有CA接口能够保证,当前证书的CA出问题时拥有多种备选。
8. 提前预警要对即将到期的证书进行提醒。
9. 合规判断能够通过内置的合规规则,一旦发现不合规情况将立即发出预警。
证书自动化运维的基础九大功能,最大限度的简化证书管理的复杂性,灵活应对行业的各种变化,实现真正的自动化运维!
从信任CA进入信任CLM工具
考虑现有可信CA随时可能暴雷,同时证书生命周期也越来越短,选择对接多CA的CLM无疑是一个非常明智的选择。仅仅依靠暂时可信的CA进行单点管理已经无法满足日益复杂的网络环境和业务需求,多CA的CLM自动化运维系统才是所有企业的选择。企业将从信任某个CA的SSL证书慢慢转为信任那些能够长期安全稳定运行的CLM工具,通过该工具来确保企业总是能够获得可信CA服务。
