今年7月，銳成上線了數(shù)字證書自動(dòng)化運(yùn)維系統(tǒng)（CLM），旨在為企業(yè)提供全面、高效、安全的數(shù)字證書全生命周期管理解決方案，其中證書發(fā)現(xiàn)是CLM的三大核心能力之一，可幫助企業(yè)有效避免證書中斷、服務(wù)中斷、停機(jī)、漏洞和其他網(wǎng)絡(luò)安全問題。那么什么是證書發(fā)現(xiàn)？為什么證書發(fā)現(xiàn)如此重要呢？來自Sectigo的產(chǎn)品總監(jiān)Marc Williams作了很好的闡述，以下是相關(guān)內(nèi)容。

什么是證書發(fā)現(xiàn)？

證書發(fā)現(xiàn)是在企業(yè)的異構(gòu)多云基礎(chǔ)設(shè)施中識(shí)別、管理和保護(hù)公共和私人數(shù)字證書和密鑰的基礎(chǔ)。該流程可發(fā)現(xiàn)證書并編制目錄，創(chuàng)建加密安全標(biāo)準(zhǔn)和到期日期清單，并建立證書及其設(shè)備關(guān)聯(lián)的整體視圖。

證書發(fā)現(xiàn)對(duì)企業(yè)的關(guān)鍵作用

企業(yè)在其網(wǎng)絡(luò)中管理著數(shù)以千計(jì)的證書。這些證書包括用于安全在線數(shù)據(jù)交換的SSL/TLS 證書、用于軟件完整性的代碼簽名證書以及用于電子郵件安全的S/MIME 證書。手動(dòng)識(shí)別和跟蹤到期日期、驗(yàn)證、所有權(quán)和其他重要信息既耗費(fèi)人力，又容易出錯(cuò)，增加了中斷和安全漏洞的風(fēng)險(xiǎn)。

CLM實(shí)現(xiàn)了證書發(fā)現(xiàn)工作流程的自動(dòng)化，可幫助企業(yè)建立準(zhǔn)確、實(shí)時(shí)的所有數(shù)字證書清單，識(shí)別未知證書，集中安全操作，并保持對(duì)網(wǎng)絡(luò)安全狀況的全面了解。

證書發(fā)現(xiàn)對(duì)于通過主動(dòng)識(shí)別和續(xù)訂即將到期的證書來避免服務(wù)中斷至關(guān)重要。它減輕了由過期、遺漏、未監(jiān)控或配置錯(cuò)誤的證書引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，黑客可以利用這些證書滲透到您的網(wǎng)絡(luò)或竊取您的數(shù)據(jù)。該過程還創(chuàng)建了證書環(huán)境的全面視圖，以支持法規(guī)遵從性和治理。

證書發(fā)現(xiàn)如何工作？

證書發(fā)現(xiàn)包括以下關(guān)鍵步驟：

• 通過掃描基礎(chǔ)架構(gòu)中的 IP 地址、域名和服務(wù)器來識(shí)別所有證書。
• 將發(fā)現(xiàn)的證書信息（如有效期、位置和簽發(fā)者）存儲(chǔ)在集中式存儲(chǔ)庫(kù)或數(shù)據(jù)庫(kù)中，以便跟蹤和管理。
• 列出數(shù)字證書和關(guān)鍵風(fēng)險(xiǎn)屬性（如識(shí)別過期證書），允許用戶標(biāo)記并采取所需的后續(xù)補(bǔ)救措施。通過驗(yàn)證加密簽名、過期日期和撤銷狀態(tài)，對(duì)所有證書進(jìn)行有效性檢查。

實(shí)施 CLM 自動(dòng)化工具可以持續(xù)評(píng)估風(fēng)險(xiǎn)，如過期狀態(tài)、簽發(fā)者聲譽(yù)和安全策略合規(guī)性。通過CLM 自動(dòng)化工具您可以在復(fù)雜的環(huán)境中管理成千上萬的證書，并提供實(shí)時(shí)監(jiān)控以立即識(shí)別變更和關(guān)鍵問題。它有助于維護(hù)最新庫(kù)存，消除人為錯(cuò)誤，并在整個(gè)企業(yè)內(nèi)執(zhí)行一致、細(xì)化的證書管理策略。您還可以根據(jù)預(yù)定義規(guī)則自動(dòng)執(zhí)行更新證書、更新配置或撤銷受損證書等操作。

證書發(fā)現(xiàn)：證書生命周期管理的基礎(chǔ)

證書發(fā)現(xiàn)是有效CLM的關(guān)鍵第一步。它允許您識(shí)別組織中所有已知和未知的證書，并創(chuàng)建一個(gè)全面的清單，以了解證書類型、位置和狀態(tài)。

一旦您在環(huán)境中發(fā)現(xiàn)了所有證書，您就可以實(shí)施流程來跟蹤和管理它們的整個(gè)生命周期。這些活動(dòng)可能包括監(jiān)測(cè)其有效性、管理及時(shí)續(xù)訂以及識(shí)別無效或吊銷的證書。它們有助于防止中斷或減輕與過期證書、弱加密算法或錯(cuò)誤配置相關(guān)的安全風(fēng)險(xiǎn)。

此外，證書發(fā)現(xiàn)通過確保規(guī)則一致地應(yīng)用于環(huán)境中的所有證書來支持證書管理策略的實(shí)施?？梢娦赃€允許您持續(xù)監(jiān)控證書環(huán)境，識(shí)別新證書，并及時(shí)吊銷或更換受損證書，以最大限度地減少安全漏洞。

全面證書清單的重要性

證書清單可讓企業(yè)更好地控制證書，確保它們符合安全策略和合規(guī)要求。您可以積極主動(dòng)地管理證書，如計(jì)劃更新、識(shí)別過期證書，并在中斷和中斷發(fā)生之前解決潛在的安全風(fēng)險(xiǎn)。

此外，準(zhǔn)確了解證書的數(shù)量和位置有助于降低安全風(fēng)險(xiǎn)。例如，您可以及時(shí)應(yīng)對(duì)受損證書，縮短漏洞窗口期。此外，完整而詳細(xì)的清單還能證明您遵守了行業(yè)標(biāo)準(zhǔn)和公司政策，從而支持法規(guī)遵從和內(nèi)部審計(jì)。

隨著谷歌等大型技術(shù)公司將SSL/TLS 證書的最長(zhǎng)有效期從 398 天縮短至 90 天，企業(yè)必須適應(yīng)其影響和后果。專家已經(jīng)預(yù)測(cè)，證書生命周期將繼續(xù)縮短至 90 天以內(nèi)。這意味著更新頻率將增加，這就需要更高效的發(fā)現(xiàn)流程和庫(kù)存管理，以識(shí)別即將過期的證書。

更新頻率的增加還將導(dǎo)致與證書相關(guān)的事件（如更新和更換）數(shù)量增加、IT 工作負(fù)荷增加，以及人工流程造成錯(cuò)誤和疏忽的風(fēng)險(xiǎn)。此外，較短的有效期意味著出錯(cuò)的余地更小。因此，持續(xù)監(jiān)控對(duì)于實(shí)時(shí)跟蹤證書狀態(tài)至關(guān)重要。而證書發(fā)現(xiàn)功能可以幫助企業(yè)輕松識(shí)別即將過期的證書，以便及時(shí)啟動(dòng)證書更新程序。

來源：sectigo