证书过期?私钥泄露?原来,企业证书管理不当竟有这么多安全风险!

前段时间,Let‘s Encrypt吊销300多万张证书的事件一经曝出,再次给HTTPS部署安全敲响警钟……

作为网络世界的ID,SSL证书保障着互联网安全中最基础的一环,通过HTTPS加密和SSL认证机制提供数据传输加密、数据完整性保护、服务器身份认证三大功能。

然而,当网站部署SSL证书并升级成HTTPS后,是否就做到真正安全了?

证书过期?私钥泄露?管理繁琐?赶紧来看看,在日常的企业证书管理中,您有没有遇到以下这些困惑呢?

1、由于证书失效过期没有及时更新导致的停机、网站业务意外中断;

2、证书管理繁琐,场景复杂,效率低下且成本较高;(如:证书申请、续签、更新的繁琐流程)

3、大型网站的企业运维人员不知道他们拥有多少证书和密钥;

4、担心无法在整个生命周期的各个阶段都确保密钥的安全;

5、无法保护密钥和证书的安全性会使网站信任大打折扣(CA 厂商确认企业密钥泄露,有权吊销企业证书)

图:因证书管理不当造成的诸多安全风险

证书和密钥管理是现代企业面临的最大难题之一,因证书管理不当带来的安全风险造成业务中断、资金流失、品牌损害,无法满足相关法律法规要求,企业经营者还将面临更为严峻的合规挑战。

证书管理的行业趋势

2019年,美国 NIST NCCoE 联合上下游安全厂商发布了《NIST网络安全实践指南SP 1800-16,TLS服务器证书管理》行业标准草案,NIST NCCoE 认识到保护组织客户端和服务器之间的Web事务和其他通信至关重要,该实践指南旨在指导企业更好地管理TLS服务器证书。未来,企业证书管理将朝着四个方向同时前进。

① 安全性:私钥和证书的安全存储;

② 可见性:所有私钥和证书及相关活动的审计;

③ 有效性:避免意外失效或中断;

④ 一站式:证书全生命周期管理服务;

有没有一款证书管理工具能够同时满足安全性、可见性、有效性、一站式这四项要求呢?

证书智能管理软件(CertManager)实现证书自动申请、部署、检测、发现、监控、管理、告警、更新和证书品牌切换于一体的证书全生命周期智能管理系统,满足安全合规要求。

证书管理最佳实践:CertManager

CertManager给予业务以更坚实的保障,提高效率降低管理成本,规避人为失误导致的生产事故,满足各行业用户的需求。

■ 证书一键申请,极速签发,自动部署。

■ 扫描企业“杂乱无章”的证书,监控证书并生成详细的报告。

■ 集中化管理证书,降低因证书到期等异常情况带来的安全风险,当发现加密机制薄弱,受损或易受***时,可以快速迁移到新证书和密钥。

■ 硬件设备内创建 CSR(私钥) 完成证书申请,密钥不出设备。

■ 协助建立全站 HTTPS,实现 HTTPS 加速。

在NIST NCCoE制定的TLS服务器证书管理最佳实践的草案中,CertManager 证书管理解决方案符合所有的实践条款。(见下图)

CertManager的功能亮点

CertManager通过企业信息预审核机制以及突出的部署环境适配能力,助力企业服务快速上线,降低人工成本,规避人为失误导致的生产事故。

? 证书自动签发:

企业信息预审机制,实现证书自动签发、快速获取;

? 证书部署:

统一管理网关设备、云服务、 WEB SERVERS 的证书部署和更新,并提供 OPENAPI 与运维系统对接;

? 证书检测:

CAA 统计报告、DN/SAN 合规报告、弱密钥统计;

? 私钥保护:

白盒算法加固、keyless、安全网关、短证书四种方式可选,保护私钥的安全性;

? 监控告警:

持续监控证书状态,告警异常情况;

? 品牌切换:

当 CA信任受损,可快速切换证书品牌;

? 用户管理:

基于角色的访问控制,管理员、项目管理员、操作员和审计员 ;

? 证书发现:

对于企业已经部署的证书,可以扫描企业网段,并管理发现的证书;

极速提升效率、降低成本的秘籍

CertManager以快速、可控、可视化、安全的证书闭环管理服务,助力企业用户安全合规的管理SSL证书和私钥,可有效规避因证书过期而产生的资金流失、品牌受损等后果,获得更好的使用体验,它可以实现:

? 业务快速上线:

通过 MPKI 企业信息预审机制,实现 OV/EV 证书的快速申请和更新;

? 安全合规:

集中管理生成的私钥,多种方式保护私钥安全性;符合国内国际法规:等保2.0 和 GDPR;

? 快速可控:

实现证书一键申请,自动续期、分级部署同时可以手动回滚;当 CA 信任受损,快速切换证书品牌; 审计员可以追踪所有的操作,保证证书及其相关操作可控;

? 安全评级管理+监控告警:

持续的监控证书状态的功能,精确定位问题,异常情况实时告警;

CertManager,这样一款从证书申请、部署、检测、告警到更新,提供证书生命周期所有阶段的功能服务产品,自动化证书管理助力企业服务稳定运行,减轻IT管理压力和运维风险,降低人工成本,真正使得证书管理更加安全便捷!

原文地址:https://blog.51cto.com/13954109/2480999

时间: 2024-11-02 13:13:34

证书过期?私钥泄露?原来,企业证书管理不当竟有这么多安全风险!的相关文章

苹果企业证书过期-描述文件过期的方案

苹果开发证书分为个人证书和企业证书.两者其中一个区别是,企业证书打包的app不需要发布到app store,而个人证书的app必须发布到app sotre.但是企业证书有个弊端,使用企业证书发布app有效期为12个月,假如过了有效期app则无法运行.也就是说,企业证书发布的app至少需要 1年升级一次,每次升级使用新的证书来发布. 这真是一个大坑. 下面是苹果官方文档的说明(http://help.apple.com/iosdeployment-apps/mac/1.1/?lang=zh-cn#

zabbix企业应用之监控域名过期时间与ssl证书过期时间

如果各位维护过n多个域名,可能会对备案与续费有所了解,备案是十分麻烦,各种流程,而续费的话,虽然比较简单,但如果你没有提前续费,可能导致域名不可用,甚至被他人给恶意注册,为了解决这样的问他,我今天给各位分享一下,如何使用zabbix监控域名过期时间与ssl证书过期时间,默认的触发器是在域名或ssl证书要过期前60天通知. 下面是监控域名过期时间的效果图 下面是监控ssl证书过期时间效果图 如何实现: 一.客户端 1.修改zabbix_agentd.conf文件 在zabbix_agentd.co

代码签名证书过期,Mozilla数百万Firefox用户遭遇扩展禁用

5月4日(GMT)早上,Mozilla的Firefox用户怨声载道,大量用户打开浏览其发现扩展插件无法使用,手机版也是如此.有报道称,此现象是由于Firefox底层SSL根证书过期所导致的,但据我们了解,这是由于AMO使用的代码签名证书无效所导致的,Firefox私有中间证书过期致使代码签名证书无效,从而导致插件验证无法通过.Mozilla Add-ons,也称为AMO,是一个为Mozilla产品查找和安装Add-ons的资源,用于签名和验证插件. 下图所示为AMO证书链,签名证书(也称为end

ADFS及ADFS Proxy证书过期处理

我们在给客户做混合部署的时候,如果客户需要实现SSO的话,我们就需要给客户搭建ADFS及ADFS Proxy,以实现用户的SSO需求.部署ADFS及ADFS Proxy是需要购买第3方证书的.如果此证书过期的话SSO就会受到影响. 如果证书过期的话,我们可以采用以下简单的方法进行新证书的更换: ADFS更换证书: 将新申请的证书导入到ADFS 服务器证书管理器中的"个人证书"中 登录ADFS管理器,定位到:ADFS-服务--证书--设置服务通信证书,选择新的证书即可 ADFS Prox

安卓和ios的app证书过期的相关问题汇总

一,ios的APP的发布流程请见:ios的APP的发布流程 http://www.jianshu.com/p/b1b77d804254 这篇文章写得很好很全面 二,app证书过期了怎么办: IOS的情况: 证书过期不会影响已上架 AppStore 下架,但是推送会出问题,更新推送证书也不用下架重新发布,可以重新生成,只要保证 developer.apple.com 中那个 APP ID 的推送证书和推送服务器上的一致即可. 安卓的情况: ? 数字证书都是有有效期的,Android只是在应用程序安

关于 ICTCLAS 2015 / NLPIR 出现的证书过期以及Cannot open Configure file 问题

今天使用的时候出现了证书过期,修改了过后出现的是Cannot open Configure file 之类的问题,但是如果项目里存在Data文件夹,这个错误是不应该存在的 搞了一个晚上,目前就找到了一个解决方案 就是调整本机的时间,这个问题是我在8月1号出现的,我调回了7月30,但是还是用不了,原来是一旦执行过后显示了证书过期Data文件就会进行相应的修改并且保存 所以解决方案就是下个新的NLPIR/ICTCLAS 2015 ,在运行程序之前把本机时间修改了 已经发邮件给张教授,不知道多久才能解

003_监测域名证书过期时间

由于因为线上证书过期,出过比较大的事故,所以就有了如下的监测证书过期的脚本 一. #!/bin/sh ### SSL Certificate Expire Day Check Script ### if [ "$1" = '' ];then echo "Need URL." exit 1;fi TARGET_URL=$1 EXP_DAY=`openssl s_client -connect ${TARGET_URL}:443 < /dev/null 2>

MSXML2.ServerXMLHTTP &amp; HTTPS &amp; 证书过期 — msxml3.dll &#39;80072f05&#39;

昨天测试一个几天前写的一个应用,时不时的报错: msxml3.dll  '80072f05' The date in the certificate is invalid or has expired 经过上午3个小时的努力,终于找到原因和解决办法. 原因: 证书过期 解决办法: Dim xmlhttp Set xmlhttp = Server.CreateObject("MSXML2.ServerXMLHTTP")        xmlhttp.setOption(2) = 1305

证书与私钥

Private Key files Part of the PKI approach used in TLS, means that for every Certificate file a computer wants to use fully, it must also have a matching Private Key file. PKI的方法中使用TLS的一部分,意味着,电脑想完全利用每一个证书文件,它还必须有一个匹配的私钥文件. Private Key files are crit