自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

避免SSL證書管理中的常見錯(cuò)誤

作者:Rob Shapland 譯者:趙長林
安全 數(shù)據(jù)安全
許多大型公司都需要管理很多證書,不犯錯(cuò)誤而依靠人工管理好這些證書是不可能的。而自動(dòng)化工具可以解決企業(yè)的證書管理難題。

如果你有大量的Web應(yīng)用,管理所有的SSL證書可能會(huì)很困難。與企業(yè)SSL證書管理的相關(guān)關(guān)鍵任務(wù)有許多,而忽視或錯(cuò)誤地處理任何一個(gè)任務(wù)都會(huì)導(dǎo)致Web應(yīng)用被利用。在本文中,我們將看到幾個(gè)在實(shí)施和管理SSL證書方面最常見的錯(cuò)誤,并討論如何管理這些證書。

如今,許多大型公司發(fā)現(xiàn)自己管理著成千上萬的證書,不犯錯(cuò)誤而依靠人工管理好這些證書是不可能的。

對于剛開始涉足SSL證書管理的公司來說,其涉及的許多任務(wù)可能很驚人。例如,證書需要購買、部署、到期更新等。這些都要花費(fèi)時(shí)間,當(dāng)許多企業(yè)的幾十或幾百個(gè)應(yīng)用或域中的證書成倍增加時(shí),問題尤為嚴(yán)重。

這就涉及到一個(gè)問題:確保每一個(gè)證書都適合于與之配對的web應(yīng)用。是否需要比較昂貴的擴(kuò)展認(rèn)證證書呢(因?yàn)檫@種證書是由可信的CA提供并審查的)?或者保險(xiǎn)系數(shù)稍低但便宜的證書適合企業(yè)呢?比如,對于非面向公眾的web應(yīng)用是否合適?

證書廠商所提供的產(chǎn)品組件令人迷惑。目前,有幾種不同的驗(yàn)證等級、不同的哈希類型、長度和保證(實(shí)際上是保護(hù)終端用戶而不是證書所有者)。要知道某個(gè)特定應(yīng)用需要哪類證書是很困難的。

更糟糕的是,研究人員已經(jīng)發(fā)現(xiàn),超過半數(shù)的公司在某點(diǎn)上會(huì)丟失數(shù)字證書,或者公司網(wǎng)絡(luò)上證書的由來無從查起。這是因?yàn)?,開發(fā)者或其它雇員創(chuàng)建了一個(gè)證書卻沒有告訴它人,以至于別人都不知道。

多數(shù)公司借助電子數(shù)據(jù)表人工管理大量的數(shù)字證書。這會(huì)導(dǎo)致錯(cuò)誤,比如數(shù)字證書丟失、不匹配或標(biāo)簽錯(cuò)誤等。證書有可能在不經(jīng)意間就到期,這意味著CA不再考慮網(wǎng)站或web應(yīng)用的安全性和可信性。如果受感染的Web應(yīng)用是面向公眾的,這有可能成為一個(gè)代價(jià)很高的錯(cuò)誤,它還有可能導(dǎo)致企業(yè)的聲譽(yù)受損,或者訪問者的瀏覽器阻止訪問整個(gè)網(wǎng)站。這是很多知名系統(tǒng)中斷的原因,也常常是管理員調(diào)查的最終原因之一,從而導(dǎo)致更多的宕機(jī)時(shí)間。

如果發(fā)行企業(yè)證書的CA受到危害,就會(huì)導(dǎo)致另一個(gè)問題,比如2011年的DigiNotar和Comodo,以及今年初的TurkTrust,證書就會(huì)被其它CA廢除,所以在一個(gè)客戶端連接到被感染的服務(wù)器時(shí),證書就不再合法。如果在整個(gè)企業(yè)水平上沒有適當(dāng)?shù)腟SL證書管理,要判斷企業(yè)有多少證書(如果有的話)不合法就不可能了。

幸運(yùn)的是,仍有方案可以解決企業(yè)的證書管理難題,其中之一就是自動(dòng)化。自動(dòng)化工具可以搜索網(wǎng)絡(luò),并記錄所發(fā)現(xiàn)的證書。這種工具通常將證書分配給企業(yè)所有者,并管理證書(雖然多數(shù)證書并不支持通過不同CA進(jìn)行更新)的自動(dòng)更新。它還可以檢查證書是否部署正確,用以避免錯(cuò)誤地使用一個(gè)老證書。然而,自動(dòng)化的工具并不完美,而且要求人工干預(yù),因?yàn)閽呙杵饔锌赡苓z漏存放在它無法訪問位置的證書。

在購買這些自動(dòng)化工具時(shí),要確保軟件能夠管理來自所有CA的證書。有些軟件只能管理特定CA頒發(fā)的證書,而且容易遺漏企業(yè)域上的某些證書,即使你相信你僅使用一個(gè)供應(yīng)商也是如此。

規(guī)劃和管理某些事件的完善的企業(yè)證書極其重要。應(yīng)當(dāng)編寫并交流管理過程,詳述在CA遭到攻擊后該做什么,以及如何替換企業(yè)網(wǎng)絡(luò)中的證書。如果沒有提前計(jì)劃好,追查來自遭受損害CA的證書將會(huì)很費(fèi)時(shí)間。

本文討論了與人工管理數(shù)字證書相關(guān)的問題。如果您的企業(yè)是依靠人工管理SSL證書,現(xiàn)在也許正是投資購買自動(dòng)化方案的時(shí)候,即使你認(rèn)為你了解所有的證書,使用后你可能會(huì)大吃一驚。

責(zé)任編輯:藍(lán)雨淚 來源: TechTarget中國
SSL證書自動(dòng)化
相關(guān)推薦

2010-09-14 15:17:51

2009-04-07 15:41:55

2009-06-22 15:01:00

java項(xiàng)目常見錯(cuò)誤

2020-08-03 10:13:29

CIO項(xiàng)目管理技術(shù)

2018-08-06 22:06:06

云遷移云端云計(jì)算

2020-03-02 08:35:05

物聯(lián)網(wǎng)實(shí)施物聯(lián)網(wǎng)IOT

2016-03-19 12:13:36

2023-05-11 09:06:50

錯(cuò)誤IT培訓(xùn)

2019-08-13 11:32:55

物聯(lián)網(wǎng)技術(shù)大數(shù)據(jù)

2020-01-31 18:03:49

編碼開發(fā)代碼

2020-01-30 18:00:18

編程語言軟件人工智能

2023-01-09 15:16:17

2013-08-29 09:51:33

SSL證書SSL證書管理

2020-05-21 18:38:49

JavaScript前端技術(shù)

2024-09-18 11:27:57

2018-07-11 05:24:05

機(jī)器學(xué)習(xí)人工智能數(shù)據(jù)

2023-05-06 10:50:41

IT培訓(xùn)IT團(tuán)隊(duì)

2020-11-04 10:11:22

區(qū)塊鏈塊鏈技術(shù)

2022-10-10 09:00:35

ReactJSX組件

2018-11-13 11:40:20

軟件定義廣域網(wǎng)SD-WAN安全
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號