4月21日,有用户注意到淘宝网和天猫商城的主域名无法正常连接,不少网友发现,无法连接的原因是淘宝网SSL证书在4月20日显示过期。
“忘记更新SSL证书,证书服务中断”这一错误非常低级,但也十分常见,哪怕是最应注重网络安全的网络安全行业本身中的组织也不可避免。
正如人们所说,无独有偶,近期,被称之为"世界上最大的IT安全组织"的国际信息系统安全认证联盟(ISC2),其一站点也出现了“证书已过期”的失误:
此外,我们观察到,近些年,大型科技公司因为忘记更新数字证书导致的服务异常事件层出不穷,相关数据显示,大约81%的公司在过去几年中经历过与证书相关的中断,包括之前微软、谷歌也都出现过类似问题。
那为什么会出现这一问题?后果是什么?又该如何解决?
1、现状:证书服务中断的风险不断增加
首先来看——为什么?
(1)需要管理的证书增加
一方面是需要管理的证书增加。近些年,每一个企业所使用的机器身份数量的涨幅都是一个“天文数字”,相关统计数据显示,企业处理的机器身份比人类身份多45倍,数字证书也是其中的“机器身份”之一。
其中,SSL证书在有效期过期前需要由技术人员提前续期以保证网站正常访问。
然而,对于大型企业来说,其所使用的域名和子域名称成千上万,SSL证书的数量通常多得难以计数。
在这样庞大的证书数量中,总会有几次“漏网之鱼”,即使是最谨慎的运维同学也有可能因为一个疏忽而遗漏某些证书的更新。
据国际证书透明日志系统数据统计,截止到 2024年3月31日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有7.0258亿张,比上一季度增加了3.84%,首次突破7亿张。
(2)证书有效期不断缩短趋势明显
SSL证书数不胜数,管理如此庞大数量的数字证书已并非易事,现如今,更是“难上加难”,在谷歌“SSL证书有效期缩短至90天”提案下的证书有效期不断缩短趋势为证书的管理带来了更大的挑战。
一般来说,SSL证书的生命周期为13个月。假设一个大型企业使用了数千个SSL证书,根据最佳实践,我们需要在证书到期前30天续订证书,确保持续的安全连接。如果证书的有效期缩短至90天,那么,每个证书的更新至少需要六次,这意味着管理成本与时间将指数级上涨,我们将面临着数千上万次的证书续订任务。
这样庞大的续订任务无疑增加了证书管理的复杂性和风险,继而,设想一下——我们可能还会经历多少次的证书服务中断?
而证书服务一旦中断,损失也是不可估量的,据《企业数字证书管理安全调查》报告统计,74%的组织经历过由于SSL证书过期导致的停机,每个组织的平均损失超过1100万美元。
除了直接的经济损失,证书服务中断还会对用户体验和信任造成巨大的冲击。用户无法正常访问企业的网站或使用相关服务,这将严重影响他们的满意度和忠诚度。
此外,证书服务中断还会给黑客提供可乘之机,他们可能会趁虚而入,进而增加数据被盗、网络攻击的风险。
人们无法否认,与过期证书相关的风险,无论是经济损失、声誉损害、服务停机还是数据泄露,都非常严重且不容忽视。
那么,我们应该怎么做?
自动化是实现SSL证书有效管理与安全应用的基石。
2、实施证书全生命周期自动化管理 (CLM) 解决方案
当您考虑到网络安全不断发展的前景(包括SSL证书有效期的缩短趋势)时,自动化证书全生命周期管理带来的好处无疑是巨大的。然而,选择适合您组织需求的CLM解决方案至关重要。
作为国内为数不多的具备国内CA、国际CA双重资质的电子认证服务机构,亚数TrustAsia近20年来一直在持续创新以确保我们提供最先进的、同时也是面向未来的证书管理解决方案,为我们现在和未来的客户提供强大的网络安全保护。
我们为用户提供业内领先的解决方案——CertManager证书管理系统,其是一款集证书自动申请、部署、检测、发现、监控、管理、告警、更新和证书品牌切换于一体的证书全生命周期智能管理系统,能够助力企业服务快速上线,降低人力成本,规避人为失误导致的生产事故。
痛点——CertManager为用户提供哪些价值?
我们观察到,组织在证书全生命周期管理中,主要会遇到以下四大痛点:
证书数量不清——
由于证书可能被部署在多个服务器上,用户往往难以全面了解自己的证书数量情况,以及这些证书被部署在那些服务器上,组织缺乏一个能够全面掌握自己拥有多少证书的工具。
部署记录不全——
每次证书部署都应该有记录和跟踪,这样管理者可以追溯到具体的人员并落实责任。缺乏这一的管理会导致部署过程缺乏可追溯性和责任的明确性。
管理方式落后——
证书全生命周期管理主要依赖于人工手动操作,缺乏自动化工具和流程。这种传统的管理方式将会管理效率低下,增加人为因素引发的安全风险。缺乏自动化管理工具意味着无法及时发现证书过期、无法自动更新和续费证书,给证书管理带来了繁琐和耗时的工作负担。
实时监控机制欠缺——
缺乏实时监控可能导致证书过期、滥用或其他异常情况未被及时察觉,从而增加了安全风险。通过实时监控,如https站点监控,滥用监控等,可以提供即时警报并解决证书问题,保障系统的稳定运行和用户的安全体验。
以上痛点怎么解决?
通过近二十年的深耕与实践,以及与客户不断的沟通交流,亚数深刻认识到在证书使用与管理上,客户所需的不仅仅是解决特定的“单点”问题,而是需要一个全面的、一体化的解决方案,能够覆盖证书在使用过程的全流程,为其业务的顺利运行提供有力支持。
基于这一认识,我们将多年在不同行业、不同客户中实践所得的经验沉淀下来,梳理出了一个清晰的解决思路:
使用证书前,首先得清楚你有多少张证书——
证书“多少”一目了然、证书“在哪”快速定位:
CertManager提供“证书发现”功能,可以通过多方式、跨网段动态发现所有SSL证书,并记录下每次证书的部署,保障证书部署记录可追踪,让用户清晰了解自己拥有的证书数量和部署情况。
明确证书是可管理的,那么在证书的使用过程中如何高效管理?找自动化——
证书管理有法子:一键部署、自动切换:
一键安装、自动更新与续费、证书品牌批量切换...CertManager通过自动化工具和流程,让证书管理“So easy”,减轻了人工手动操作的负担,且提高了管理效率。
证书更新完了,不管它?非也,实时监控很重要!
“自动化”的好帮手是“实时监控”:CertManager能够持续监控证书的使用状态以及业务健康度,一旦发现异常及时发出警报,从而保证线上业务的可持续性,降低业务异常导致的营收损失。
这一解决思路不仅关注某一个点问题的解决,而是以全面的视角来考虑证书的使用与管理,从证书的发现、部署、续期到监控和告警,形成一个完整的、一体化的解决方案。
我们期望,通过CertManager证书管理系统,组织可以防止证书中断、简化IT运营并实现敏捷性。
同时,能为您的业务部门提供开发下一代产品、解决方案和服务所需的可见性、控制力及信心,并且最大限度地降低潜在的违规等安全事件的风险。
如果您想了解有关亚数TrustAsia CertManager证书管理系统及解决方案的更多信息,请与我们的团队联系:
400—880—8600