前段时间,Let‘s Encrypt吊销300多万张证书的事件一经曝出,再次给HTTPS部署安全敲响警钟……
作为网络世界的ID,SSL证书保障着互联网安全中最基础的一环,通过HTTPS加密和SSL认证机制提供数据传输加密、数据完整性保护、服务器身份认证三大功能。
然而,当网站部署SSL证书并升级成HTTPS后,是否就做到真正安全了?
证书过期?私钥泄露?管理繁琐?赶紧来看看,在日常的企业证书管理中,您有没有遇到以下这些困惑呢?
1、由于证书失效过期没有及时更新导致的停机、网站业务意外中断;
2、证书管理繁琐,场景复杂,效率低下且成本较高;(如:证书申请、续签、更新的繁琐流程)
3、大型网站的企业运维人员不知道他们拥有多少证书和密钥;
4、担心无法在整个生命周期的各个阶段都确保密钥的安全;
5、无法保护密钥和证书的安全性会使网站信任大打折扣(CA 厂商确认企业密钥泄露,有权吊销企业证书)
图:因证书管理不当造成的诸多安全风险
证书和密钥管理是现代企业面临的最大难题之一,因证书管理不当带来的安全风险造成业务中断、资金流失、品牌损害,无法满足相关法律法规要求,企业经营者还将面临更为严峻的合规挑战。
证书管理的行业趋势
2019年,美国 NIST NCCoE 联合上下游安全厂商发布了《NIST网络安全实践指南SP 1800-16,TLS服务器证书管理》行业标准草案,NIST NCCoE 认识到保护组织客户端和服务器之间的Web事务和其他通信至关重要,该实践指南旨在指导企业更好地管理TLS服务器证书。未来,企业证书管理将朝着四个方向同时前进。
① 安全性:私钥和证书的安全存储;
② 可见性:所有私钥和证书及相关活动的审计;
③ 有效性:避免意外失效或中断;
④ 一站式:证书全生命周期管理服务;
有没有一款证书管理工具能够同时满足安全性、可见性、有效性、一站式这四项要求呢?
证书智能管理软件(CertManager)实现证书自动申请、部署、检测、发现、监控、管理、告警、更新和证书品牌切换于一体的证书全生命周期智能管理系统,满足安全合规要求。
证书管理最佳实践:CertManager
CertManager给予业务以更坚实的保障,提高效率降低管理成本,规避人为失误导致的生产事故,满足各行业用户的需求。
■ 证书一键申请,极速签发,自动部署。
■ 扫描企业“杂乱无章”的证书,监控证书并生成详细的报告。
■ 集中化管理证书,降低因证书到期等异常情况带来的安全风险,当发现加密机制薄弱,受损或易受***时,可以快速迁移到新证书和密钥。
■ 硬件设备内创建 CSR(私钥) 完成证书申请,密钥不出设备。
■ 协助建立全站 HTTPS,实现 HTTPS 加速。
在NIST NCCoE制定的TLS服务器证书管理最佳实践的草案中,CertManager 证书管理解决方案符合所有的实践条款。(见下图)
CertManager的功能亮点
CertManager通过企业信息预审核机制以及突出的部署环境适配能力,助力企业服务快速上线,降低人工成本,规避人为失误导致的生产事故。
? 证书自动签发:
企业信息预审机制,实现证书自动签发、快速获取;
? 证书部署:
统一管理网关设备、云服务、 WEB SERVERS 的证书部署和更新,并提供 OPENAPI 与运维系统对接;
? 证书检测:
CAA 统计报告、DN/SAN 合规报告、弱密钥统计;
? 私钥保护:
白盒算法加固、keyless、安全网关、短证书四种方式可选,保护私钥的安全性;
? 监控告警:
持续监控证书状态,告警异常情况;
? 品牌切换:
当 CA信任受损,可快速切换证书品牌;
? 用户管理:
基于角色的访问控制,管理员、项目管理员、操作员和审计员 ;
? 证书发现:
对于企业已经部署的证书,可以扫描企业网段,并管理发现的证书;
极速提升效率、降低成本的秘籍
CertManager以快速、可控、可视化、安全的证书闭环管理服务,助力企业用户安全合规的管理SSL证书和私钥,可有效规避因证书过期而产生的资金流失、品牌受损等后果,获得更好的使用体验,它可以实现:
? 业务快速上线:
通过 MPKI 企业信息预审机制,实现 OV/EV 证书的快速申请和更新;
? 安全合规:
集中管理生成的私钥,多种方式保护私钥安全性;符合国内国际法规:等保2.0 和 GDPR;
? 快速可控:
实现证书一键申请,自动续期、分级部署同时可以手动回滚;当 CA 信任受损,快速切换证书品牌; 审计员可以追踪所有的操作,保证证书及其相关操作可控;
? 安全评级管理+监控告警:
持续的监控证书状态的功能,精确定位问题,异常情况实时告警;
CertManager,这样一款从证书申请、部署、检测、告警到更新,提供证书生命周期所有阶段的功能服务产品,自动化证书管理助力企业服务稳定运行,减轻IT管理压力和运维风险,降低人工成本,真正使得证书管理更加安全便捷!
原文地址:https://blog.51cto.com/13954109/2480999