Mozilla宣布不信任Entrust所頒發(fā)的TLS/SSL證書的決定引發(fā)了網(wǎng)絡(luò)安全界的關(guān)注。各種頭條新聞——包括DigiCert網(wǎng)站中的許多新聞——聚焦于不信任背后的原因，以及Entrust客戶需要在何時(shí)、何地以及如何替換其證書。

然而，整個(gè)事件遠(yuǎn)遠(yuǎn)超出了基于瀏覽器的交互。Mozilla的決定影響巨大，波及依賴其信任存儲的每個(gè)生態(tài)系統(tǒng)，對平臺、應(yīng)用程序和最終用戶都有重大影響。

不限于Firefox：Mozilla決定不信任的巨大影響

Mozilla對Entrust根的不信任并非僅限于Firefox，還有可能傳導(dǎo)到許多平臺和應(yīng)用程序。這是因?yàn)镸ozilla信任存儲依賴于開源生態(tài)系統(tǒng)中的許多非瀏覽器TLS客戶端，包括Linux環(huán)境、Oracle系統(tǒng)、curl開發(fā)工具和其他每天都在被使用的關(guān)鍵技術(shù)。

當(dāng)這些系統(tǒng)遇到不受信任或過期的證書時(shí)，不僅會(huì)造成暫時(shí)的不便——還可能會(huì)使運(yùn)行終止。以下是受影響的系統(tǒng)和工具的詳細(xì)信息。

Oracle系統(tǒng)

Oracle的企業(yè)工具在很大程度上依賴于受信任的證書以實(shí)現(xiàn)安全通信。對Entrust根證書的不信任會(huì)影響這些環(huán)境，但真正的問題在于Java對這些根證書的依賴。

Java是無數(shù)任務(wù)關(guān)鍵型應(yīng)用程序的支柱，從Salesforce等CRM解決方案到大數(shù)據(jù)分析和移動(dòng)應(yīng)用程序等都是如此。如果自動(dòng)化系統(tǒng)因證書問題而出現(xiàn)故障，就會(huì)造成停機(jī)和中斷，這意味著此級別的信任崩潰不僅會(huì)擾亂工作流程，還會(huì)危及企業(yè)武器庫中一些最重要工具的安全性和可靠性。

Linux發(fā)行版

許多Linux發(fā)行版使用Mozilla的網(wǎng)絡(luò)安全服務(wù)（NSS），這是Red Hat、Google和其他公司在各種產(chǎn)品中使用的加密庫的開源實(shí)現(xiàn)。這種不信任會(huì)產(chǎn)生多米諾效應(yīng)，影響包管理器、系統(tǒng)更新和其他基本流程，從而在基于Linux的各種環(huán)境中造成廣泛的挑戰(zhàn)。

curl與OpenSSL開發(fā)人員

對于進(jìn)行API調(diào)用、自動(dòng)化腳本以及與Web服務(wù)的交互，curl工具必不可少。OpenSSL同樣是在服務(wù)器和網(wǎng)站進(jìn)行安全通信的基礎(chǔ)。在證書失去信任時(shí)，依賴證書的開發(fā)人員將面臨錯(cuò)誤、延遲和中斷，這些問題會(huì)波及整個(gè)開發(fā)和部署生命周期。

電子郵件客戶端

即使是像Mozilla Thunderbird這樣擁有強(qiáng)大用戶群的電子郵件客戶端也無法幸免。Thunderbird兼作個(gè)人信息管理器，處理日歷、聯(lián)系人和RSS提要。不受信任的Entrust根證書可能會(huì)中斷這些功能，給依賴其無縫功能的用戶帶來麻煩。

為了保持安全性，您的組織可以開展哪些工作

信任對于實(shí)現(xiàn)現(xiàn)代數(shù)字生態(tài)系統(tǒng)的互聯(lián)互通至關(guān)重要。對于組織來說，為根存儲的變化做好準(zhǔn)備并做出響應(yīng)以確保其數(shù)字通信的安全性和可信度至關(guān)重要。

請遵循以下步驟，以確保不受信任的根不會(huì)影響您的組織。

1.持續(xù)審計(jì)：致力于定期審計(jì)和持續(xù)監(jiān)測，以識別Entrust根和由Entrust頒發(fā)的證書，這樣您可以檢測出受影響的證書并用受信任的證書對其進(jìn)行替換。

2.制定事件響應(yīng)計(jì)劃：維護(hù)最新的事件響應(yīng)計(jì)劃，以高效處理證書頒發(fā)機(jī)構(gòu)（CA）的問題，并移除任何固定到Entrust根或ICA的證書。

3.實(shí)現(xiàn)合規(guī)監(jiān)測自動(dòng)化： 使用DigiCert的免費(fèi)開源證書檢查工具pkilint等工具對您的證書進(jìn)行自動(dòng)化合規(guī)檢查。

4.實(shí)現(xiàn)證書管理自動(dòng)化：為您的證書生命周期管理（CLM）實(shí)現(xiàn)自動(dòng)化，以便在問題證書成為真正的問題之前快速發(fā)現(xiàn)并替換證書。

保護(hù)您的組織免受未來威脅的最佳方法

許多組織仍然依賴于手動(dòng)流程，比如用電子表格追蹤證書——這種方法在出現(xiàn)問題時(shí)很難進(jìn)行調(diào)整。

實(shí)施DigiCert Trust Lifecycle Manager等自動(dòng)化CLM工具可確保無縫監(jiān)測、續(xù)訂并替換每個(gè)證書。通過證書管理自動(dòng)化，您的組織將獲得所需要的加密敏捷性，以避免服務(wù)中斷，保持合規(guī)性，并在證書被吊銷時(shí)遵循CA/B論壇嚴(yán)格的最后期限。