安全性 07-15-2024

Entrust不受信任:对于CA和企业的重要经验教训

Mike Nelson
Entrust Miss-issuance Blog Hero

联合作者 Jeremy Rowley

普通网络用户可能没有意识到,为了保护数字世界的安全,在幕后要做多少工作。然而,由证书颁发机构(CA)所颁发的数字证书让值得信任的网站、电子邮件、服务器和软件受到信任。证书颁发机构/浏览器(CA/B)论坛等制定标准的机构认为这些CA值得信任。 

有时,由于人为错误或代码中的错误,被颁发的证书未能符合根存储运营商严格的合规要求。在这种情况发生时,CA应当如实报告相关情况,吊销证书,并帮助社群从错误中吸取经验教训。 

但正如我们在Google Chrome不信任Entrust事件中看到的那样,未能及时减轻损害可能带来严重后果——对于CA及其客户而言都是如此。 

为什么Google不信任Entrust?

2024年6月,Google的Chrome安全团队宣布,将不再信任Entrust在2024年10月31日之后颁发的TLS证书。几个月前,Entrust承认误颁发了超过26,000个EV TLS证书

CA/B论坛的基线要求中规定的误颁发证书的吊销时间期限非常短,要么是24小时,要么是5天,基于问题的性质而定。CA通常可以在尽量降低对企业影响的情况下解决问题,但Entrust没有采取任何行动来吊销或替换受影响的证书。 

不作为对企业的影响可能意味着服务中断、CA状态的不确定性以及客户信任的丧失。对于像Entrust这样未能吊销和替换误颁发证书的CA来说,这可能意味着Web浏览器会停止对该CA的信任,就像Google在2024年所做的那样。

企业如何防止与证书误颁发相关的业务中断

缺陷在软件中很常见,因此即使在非常复杂的软件开发生命周期中也会出现误颁发。在发生误颁发的情况下,CA的主要目标应该是找出错误发生在哪儿,并确保错误永远不会再发生。

2023年,DigiCert发现,颁发给一家跨国设备制造商的300个证书不符合CA/B论坛基线要求中严格的配置文件要求。根据这些要求,我们有五天的时间来吊销证书,以符合标准——所有CA都同意这些标准是其作为公共信任实体的部分职责。

那么只有一个问题:在与客户共同探讨这个问题后,大家明确在五天内吊销证书会对重要系统造成巨大破坏,从而导致消费者安全问题。我们与制造商密切合作,确定他们需要一个月的时间来替换被误颁发的证书。

不遵守CA/B规定不是一种选择。然而,在没有妥善颁发替换证书的情况下吊销证书也不是一种选择。因此,我们与社群进行协商,并与客户全天候共同协作,使他们的新证书得以及时到位并运行。 

虽然这段经历对所有相关人员来说都很有压力,但反思问题和错误有助于让我们的客户采取措施,防止被误颁发的证书成为持续存在的问题。

我们建议任何依赖证书来保持安全的企业:

1. 在适用的情况下使用专用信任证书。

CA/B论坛仅针对公共信任证书制定标准。专用信任证书没有五天的吊销时间要求。对于我们的设备制造商客户来说,将公共信任证书颁发给了不需要这类证书的设备——在这个案例里就是颁发给了互联设备——结果就是为不必要的问题打开了大门。

我们的建议? 检查您的证书使用情况,如果您需要的是专用信任证书,那么请通过将公共信任证书更改为专用信任证书来消除因证书吊销而导致业务中断的风险。  

以下是专用信任证书的一些最常见的用例:

  • 互联设备:互联IoT设备使用证书来手动验证与网关、服务器、应用程序或其他设备的连接。这种通信通常发生在专用网络中,这消除了对公共信任的需要。
  • 内部应用程序和网站:由于不可进行公开访问,因此贵企业的内联网不需要公共信任。
  • 组织间通信:合作伙伴组织可以通过手动配置其系统以接受彼此的专用证书,从而消除对公共信任的需求。
  • VPN:使用专用证书进行客户端和服务器身份验证可确保只有受信任的设备才能连接到企业VPN。

我们还建议使用DigiCert的免费开源证书检查工具pkilint对您的证书进行自动化合规检查。

2. 实施全面的证书管理解决方案。

许多企业仍然使用电子表格来手动追踪其证书。有了证书生命周期管理(CLM)解决方案,满足CA/B论坛规定的五天时间期限就不是问题了。然而,如果没有这种解决方案,那么替换被误颁发的证书可能就需要大量的手动流程,可能需要数周时间才能完成。

如果您的企业尚未使用全面的CLM,请实施DigiCert Trust Lifecycle Manager等解决方案,该解决方案提供:

  • PKI证书发现
  • 所有公共和专用证书的完整存储库
  • 精细的可见性与操作控制
  • 防止证书过期的通知
  • 漏洞补救

与优先考虑数字信任的CA进行合作的重要性

我们在DigiCert反复说到的数字信任不是一个抽象的概念,它是客观的、可衡量的。企业的网站和数字产品要么受到值得信任的证书保护,要么没有受到值得信任的证书保护。CA要么遵守CA/B论坛等组织制定的标准,要么没有遵守这些标准。

当CA同意成为信任社群的一员时,他们的可信度就受到其透明度和遵守规则的意愿来衡量。就其本身而言,颁发错误不会自动导致不信任。最重要的是问题发生的原因、CA从这类情况中吸取的教训以及CA如何处理这类事件。

数字信任的最新进展

想了解有关证书生命周期管理数字信任DigiCert的数字信任解决方案等话题的更多信息吗? 请订阅DigiCert博客,以确保您永远不会错过任何信息。

Subscribe to the blog