避免SSL证书管理中的常见错误

日期: 2013-09-01 作者:Rob Shapland翻译:赵长林 来源:TechTarget中国 英文

如果你有大量的Web应用,管理所有的SSL证书可能会很困难。与企业SSL证书管理的相关关键任务有许多,而忽视或错误地处理任何一个任务都会导致Web应用被利用。在本文中,我们将看到几个在实施和管理SSL证书方面最常见的错误,并讨论如何管理这些证书。 如今,许多大型公司发现自己管理着成千上万的证书,不犯错误而依靠人工管理好这些证书是不可能的。

对于刚开始涉足SSL证书管理的公司来说,其涉及的许多任务可能很惊人。例如,证书需要购买、部署、到期更新等。这些都要花费时间,当许多企业的几十或几百个应用或域中的证书成倍增加时,问题尤为严重。 这就涉及到一个问题:确保每一个证书都适合于与之配对的web应用。

是……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

如果你有大量的Web应用,管理所有的SSL证书可能会很困难。与企业SSL证书管理的相关关键任务有许多,而忽视或错误地处理任何一个任务都会导致Web应用被利用。在本文中,我们将看到几个在实施和管理SSL证书方面最常见的错误,并讨论如何管理这些证书。

如今,许多大型公司发现自己管理着成千上万的证书,不犯错误而依靠人工管理好这些证书是不可能的。

对于刚开始涉足SSL证书管理的公司来说,其涉及的许多任务可能很惊人。例如,证书需要购买、部署、到期更新等。这些都要花费时间,当许多企业的几十或几百个应用或域中的证书成倍增加时,问题尤为严重。

这就涉及到一个问题:确保每一个证书都适合于与之配对的web应用。是否需要比较昂贵的扩展认证证书呢(因为这种证书是由可信的CA提供并审查的)?或者保险系数稍低但便宜的证书适合企业呢?比如,对于非面向公众的web应用是否合适?

证书厂商所提供的产品组件令人迷惑。目前,有几种不同的验证等级、不同的哈希类型、长度和保证(实际上是保护终端用户而不是证书所有者)。要知道某个特定应用需要哪类证书是很困难的。

更糟糕的是,研究人员已经发现,超过半数的公司在某点上会丢失数字证书,或者公司网络上证书的由来无从查起。这是因为,开发者或其它雇员创建了一个证书却没有告诉它人,以至于别人都不知道。

多数公司借助电子数据表人工管理大量的数字证书。这会导致错误,比如数字证书丢失、不匹配或标签错误等。证书有可能在不经意间就到期,这意味着CA不再考虑网站或web应用的安全性和可信性。如果受感染的Web应用是面向公众的,这有可能成为一个代价很高的错误,它还有可能导致企业的声誉受损,或者访问者的浏览器阻止访问整个网站。这是很多知名系统中断的原因,也常常是管理员调查的最终原因之一,从而导致更多的宕机时间。

如果发行企业证书的CA受到危害,就会导致另一个问题,比如2011年的DigiNotar和Comodo,以及今年初的TurkTrust,证书就会被其它CA废除,所以在一个客户端连接到被感染的服务器时,证书就不再合法。如果在整个企业水平上没有适当的SSL证书管理,要判断企业有多少证书(如果有的话)不合法就不可能了。

幸运的是,仍有方案可以解决企业的证书管理难题,其中之一就是自动化。自动化工具可以搜索网络,并记录所发现的证书。这种工具通常将证书分配给企业所有者,并管理证书(虽然多数证书并不支持通过不同CA进行更新)的自动更新。它还可以检查证书是否部署正确,用以避免错误地使用一个老证书。然而,自动化的工具并不完美,而且要求人工干预,因为扫描器有可能遗漏存放在它无法访问位置的证书。

在购买这些自动化工具时,要确保软件能够管理来自所有CA的证书。有些软件只能管理特定CA颁发的证书,而且容易遗漏企业域上的某些证书,即使你相信你仅使用一个供应商也是如此。

规划和管理某些事件的完善的企业证书极其重要。应当编写并交流管理过程,详述在CA遭到攻击后该做什么,以及如何替换企业网络中的证书。如果没有提前计划好,追查来自遭受损害CA的证书将会很费时间。

本文讨论了与人工管理数字证书相关的问题。如果您的企业是依靠人工管理SSL证书,现在也许正是投资购买自动化方案的时候,即使你认为你了解所有的证书,使用后你可能会大吃一惊。

作者

Rob Shapland
Rob Shapland

Senior penetration tester at First Base Technologies where he specialises in Web application security.

翻译

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • 生死狙击:阻止恶意SSL通信六要点

    SSL的使用每年都在稳定增长。将来会有越来越多的互联网通信都会被加密。不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图。虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求……

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……

  • Daryush Ashjari:在攻守失衡的不利情况下企业安全如何逆袭?

    采访中,Intel安全事业部亚太区售前技术和服务副总裁Daryush Ashjari谈及了目前的威胁发展趋势和安全行业现状,以及Intel安全在应对这种种挑战所提供的解决思路和方法。

  • 感谢Let’s Encrypt吧,WordPress现向托管网站免费提供SSL

    WordPress现在为其托管网站提供免费SSL证书,这可为广大客户提供更好的安全性。WordPress此前仅支持对子域的加密,但现在WordPress宣布,所有通过WordPress.com托管的自定义域都可自动获得免费HTTPS。