互联网时代,大部分网站为有效提升信息的安全性和品牌形象,都已使用SSL证书进行HTTPS网站数据的传输加密,尤其是银行、金融类的网站,如今互联网已然进入全站HTTPS化时代……
随着企业业务的不断发展,
SSL证书管理的问题也愈发重要。
面对数百或可能数千张证书的运维挑战,
除了证书过期,
数字证书私钥泄露问题,
对于网站管理人员如梦魇一样令人头疼,
HTTPS加密时代,密钥保护有多重要?
如果您有过这些心痛的领悟,
经历过,一定深有体会。
■ 73%的IT专业人士认为,无法保护密钥和证书的安全性会使信任大打折扣;
■ 71%的组织甚至不知道他们拥有多少证书和密钥;
■ 61%的公司担心他们无法在整个生命周期的各个阶级都确保密钥的安全。
私钥是如何产生的?
证书申请人通过CA机构申请证书的时候,需要提交证书请求文件(CSR)。这个时候申请人会通过服务器、负载设备、第三方工具等方式生成CSR及对应的私钥。申请人将CSR文件提交至CA机构,并保管自己的私钥文件。CA机构使用其根证书私钥签名,从而就生成了证书公钥文件,即颁发给申请人的数字证书。
整个业务过程中,申请人的私钥需要妥善保管好,以备收到证书后安装使用。整个环境中,私钥文件不能发送、转让、泄漏给任何第三方(包括CA机构),否则都会有私钥泄漏的风险,从而影响HTTPS服务的安全性。
证书私钥泄露的严重后果
在证书生命周期内保护SSL证书私钥的安全至关重要。有没有想过,如果您的网站使用的数字证书私钥文件泄露,会造成什么后果?
私钥泄露可能会导致一连串的问题,甚至会带来灾难性的影响。
SSL证书私钥泄露会导致加密会话的密钥泄露,进而造成网站数据泄露。黑客就可以构建假冒的钓鱼网站,借助DNS劫持,将用户引导到假网站上面去,可窃取用户的口令等敏感信息;或者黑客执行中间人攻击。
当CA 厂商一旦确认企业私钥泄露,就有权吊销企业证书。所以,无法保护密钥和证书的安全性会使网站信任大打折扣!
如果您打开网页时看到这样的提示,会不会有点疑惑和害怕呢?
闹心不?如何正确保护私钥?
使用商业上可用的技术,通过以下方式可用更好的管理证书:
△ 确定运营和安全政策;确定角色和责任,私钥文件集中管理;
△ 建立全面的证书清单和所有权跟踪;
△ 持续监控证书操作和安全状态;
△ 自动化证书管理,最大限度地减少人为错误并最大限度地提高效率;
△ 当发现加密机制薄弱,受损或易受攻击时,可以快速迁移到新证书和密钥;
2019年,美国 NIST NCCoE 联合上下游安全厂商发布了《NIST网络安全实践指南SP 1800-16,TLS服务器证书管理》行业标准草案,NIST NCCoE 认识到保护组织客户端和服务器之间的Web事务和其他通信至关重要,该实践指南旨在指导企业更好地管理TLS服务器证书。未来,企业证书管理将朝着四个方向同时前进。
① 安全性:私钥和证书的安全存储;
② 可见性:所有私钥和证书及相关活动的审计;
③ 有效性:避免意外失效或中断;
④ 一站式:证书全生命周期管理服务;
证书智能管理软件(CertManager)
“工欲善其事,必先利其器”,而找到一个好工具,将会事半功倍!
在这方面,亚洲诚信研发的证书智能管理软件(CertManager):就是一款能助您极速提升效率、降低成本的自动化证书管理工具。
CertManager是业内领先的集证书自动申请、部署、检测、发现、监控、管理、告警、更新和证书品牌切换于一体的证书全生命周期智能管理系统。按照美国国家标准与技术研究院(NIST)制定的TLS服务器证书管理行业标准草案设计,通过企业信息预审核机制,以及CertManager突出的部署环境适配能力,提供OV/EV证书一键申请、自动部署、证书品牌快速切换等。
功能特点
✔ 证书自动签发:企业信息预审机制,实现 OV/EV 证书自动签发、快速获取;
✔ 证书部署:统一管理网关设备、云服务、 WEBSERVERS 的证书部署和更新,并提供 OPENAPI 与运维系统对接;
✔ 证书检测:CAA 统计报告、DN/SAN 合规报告、弱密钥统计;
✔ 私钥保护:白盒算法加固、keyless、安全网关、短证书四种方式可选,保护私钥的安全性。硬件设备内创建CSR(私钥)完成证书申请和部署,做到密钥不出设备。
✔ 监控告警:持续监控证书状态,告警异常情况;
✔ 品牌切换:当 CA 信任受损,可快速切换证书品牌;
✔ 用户管理:基于角色的访问控制,管理员、操作员和审计员;
✔ 证书发现:对于企业已经部署的证书,可以扫描企业网段,并管理发现的证书;
应用场景
CertManager解决各行各业在证书管理上的证书自动化和闭环服务问题,具有良好的适配性,可集中管理云端WAF、SLB 和 Nginx、Apache、IIS 的证书部署。
适配企业内以下四大类部署环境:
△ WEB SERVERS:Nginx、Apache、IIS、Tomcat;
△ 网关设备:TrustAsia HSG、F5BigIP、信安NSAE;
△ 云服务:阿里云WAF、阿里云SLB、阿里云CDN、腾讯云CLB、腾讯云CDN、华为云CDN、华为云ELB、亚马逊CloudFront、亚马逊ELB、七牛云CDN;
△ API:提供 OPENAPI 与运维系统对接 实现运维自动化,可自定义服务。
够不够硬核?
CertManager,
专注自动化证书管理,扩展证书应用
极度安全的密钥存储
真正做到证书管理更加安全便捷!