行业新闻与博客

组织在 2021 年面临的主要 PKI 挑战是什么，他们如何应对？来自 DigiCert 的 2021 年 PKI 自动化状态的数据揭示了几个重要趋势。

根据 DigiCert 最新研究报告的数据，高达 91% 的企业表示他们希望自动化其公钥基础设施 (PKI)。这有一个很好的理由——公钥基础设施是支持与互联网安全相关的几乎所有事情的骨干。即使您的服务器上的一个网站安全证书过期，关于服务中断、安全风险和不合规问题的一切都可能会崩溃。更不用说这些问题可能带来的所有处罚和潜在诉讼了……

归根结底，如果管理不当，PKI 将成为企业和其他大型环境的野兽。这就是 PKI 自动化可以提供帮助的地方。PKI 自动化有助于为这种混乱带来秩序。

但是 PKI 自动化意味着什么呢？我们将快速回顾一下它是什么以及为什么它是必要的。然后，我们将继续介绍 DigiCert 最新的 PKI 自动化报告中为企业提供的四个关键要点。在每个部分中，我们将探讨见解和统计数据以及处理每种情况的有用建议。

让我们来分析一下。

PKI 自动化优势的快速概览

PKI 自动化是与管理 PKI 证书和密钥生命周期相关的流程和工具。基本上，这一切都是关于处理与管理数字证书和密钥对相关的单调任务——从请求或更新证书到部署和撤销它们（以及两者之间的一切）——并让你的团队腾出时间专注于更高级别的功能。

那么，如果您没有强大的 PKI 管理实践和工具，会发生什么？如果这些证书中的一个过期或密钥被泄露，您将因各种原因陷入困境！例如，让我们考虑当 SSL 证书过期时会发生什么：

• 不安全的数据可能导致代价高昂且破坏性的数据泄露。
• 不合规问题可能导致巨额罚款和潜在的诉讼。
• 服务中断不仅会降低生产力，还会干扰您的客户。
• 声誉受损会带来毁灭性的打击，可能会在未来几个月或几年内产生持久的影响。
• 失去客户信任和关系可能导致销售和收入损失，这可能会迫使您永久关门。

通过使用自动化来管理您的证书和密钥，您可以让自己成为攻击者更难对付的目标，从而降低发生这些情况的可能性。

因此，既然我们知道 PKI 自动化是什么以及它为什么对企业有益，那么让我们来看看 DigiCert 调查数据的重要收获。

要点 #1：经历过与证书相关的停机时间？你不是一个人

意外停机对企业来说就像心脏病发作。它突然袭击——通常没有任何警告——并且可能对收入损失和声誉损害产生破坏性影响。

为避免心脏病发作，您需要采取措施确保您过上健康的生活：定期锻炼、多喝水、吃总体健康的饮食等。同样，您可以采取一些措施来减少意外停机时间与您的公钥基础设施有关。（我们将暂时介绍这些建议。）

DigiCert 的 PKI 自动化状况报告数据显示，超过 33% 的 PKI 领导者认为自动化是该责任不可或缺的一部分。这些组织在管理其 PKI 时通常不屑一顾，与其他 PKI“落后者”组织相比，遇到中断的可能性要小得多。

一般而言，DigiCert 的数据显示，三分之二或组织因证书意外过期而出现中断。然而，他们认为是 PKI 领导者的组织经历的这些与到期相关的中断要少得多——六个月内只有一次中断。（将其与不太关心的企业同行经历的三到五次中断进行比较——这两种类型的组织暂时都发生了更多的中断。）

您可以采取哪些措施来缓解此问题

几乎每个人都会在某一时刻发生停机 — 区别在于停机是有意的（提前计划）还是无意的（即，“哎呀！”）。但是，您可以做些什么来减少意外停机时间及其相关成本？

1. 为必要的更新安排停机时间——这是避免任何类型停机的第一个关键步骤。例如，如果您知道需要应用更新，则可以提前计划，以便您的客户知道并可以相应地进行计划。这种礼貌的举动也有助于您的客户最大限度地减少停机时间，因为他们提前知道了这一点。
2. 设置证书发现— 证书发现对于 PKI 管理以及一般的网络安全至关重要。如果您不知道您的网络上有什么，您如何保护它？证书发现应该同时适用于您的公共（外部）和内部网络。
3. 启用证书自动化— 充分利用自动化，并尽可能将证书续订设置为自动进行。这将使证书管理变得轻而易举，并且可以让您轻松完成许多与续订相关的单调任务。
4. 设置 PKI 警报— 许多与 PKI 管理相关的工具都提供设置警报的功能。此通知系统会在事情发生横向变化时通知您，因此您可以立即上报任何事情，以确保快速有效地处理它。

要点 2：过于自信的组织往往会遇到最大的问题

最担心 PKI 证书管理的组织往往是那些 PKI 安全问题最少的组织。（注意：这个结论也与我们之前在一篇关于 Keyfactor 和 Ponemon Institute 的 2020 年研究的文章中分享的研究一致。）

总的来说，这些担忧在处理许多与安全相关的任务时似乎要好两到三倍：

• 管理他们的 PKI 数字证书，
• 最大限度地减少停机时间和与 PKI 相关的安全风险（例如流氓证书），
• 遵守行业和地区数据安全法律法规。

这是有道理的，真的。这些 A-game 组织可能在这些领域做得更好有几个关键原因：

• 他们的员工更清楚，所以他们倾向于密切关注事物。
• 他们认识到有效的证书管理和自动化的重要性。
• 他们认识到自己组织的缺点——因此，他们倾向于尽早采取措施来缓解这些问题。

毋庸置疑，正是出于这个原因，DigiCert 将这些组织视为 PKI 的“领导者”。

现在，让我们将其与他们过于自信的同行进行比较——这些组织被 DigiCert 视为“落后者”。这些企业对其 PKI 安全有效性和流程的担忧较少。一般来说，不太了解自身缺点的组织往往会遇到更多流氓证书问题和服务中断。我想那句流行的说法是对的：无知是福。

您可以采取哪些措施来缓解此问题

我们可以提出几项关键建议。当然，并非所有建议都适用于您，但可能适用于您组织中的其他人（基于您的角色）：

• 关注您的业务需求并与人交谈。如果你不知道发生了什么，你怎么能做出明智的决定？如果您不了解组织内发生的事情，则无法解决问题。
• 使用正确的工具来提高效率而不牺牲安全性。使用可让您更好地了解网络和整体 IT 环境的工具。PKI 发现和监控可帮助您在与 PKI 相关的问题（如证书到期）发生之前了解它们。理想情况下，您需要使用一种工具来实现 PKI 相关流程（例如证书更新）的 PKI 自动化，从而将这些问题也扼杀在萌芽状态。  
• 实施强有力的 PKI 政策和程序。没有一家公司是完美的——你的员工也不是。人们可能很懒惰，有时也会犯错误。这就是为什么最好有记录的资源，他们可以依靠这些资源来确保他们选中所有复选框，以确保您的 PKI 得到尽可能安全和可靠的管理。
• 无论真相多么糟糕，都要直率。不要给猪涂口红——如果有问题，你需要马上解决。不要粉饰可能导致安全事件、数据泄露和不合规的不良情况。传达情况的严重性，并要求您提供确保组织及其数据安全所需的工具和资源。
• 听听你的员工怎么说。尽管不是每个人都想听到坏消息，但与其在事后处理违规行为的后果，不如直面它。对您的 PKI 经理、IT 团队和 CISO 在分享疑虑和提出建议时必须说的话持开放态度。采用这种思想开放的方法可能会帮助您避免成为下一个与证书中断相关的标题。

要点 3：企业没有手动管理 PKI 的能力

在某些大型环境中手动大规模管理公钥基础设施根本不可行。为什么？因为管理您的 PKI 等同于多人的全职工作。DigiCert 的调查数据显示：

• 61%的被调查企业担心证书管理的时间要求。
• 企业需要管理的 PKI 证书数量增加了43%。
• 企业通常在其环境中管理超过 50,000 个证书！

根据这个数字，这意味着您平均每天必须跟踪和管理近137 个证书。毋庸置疑，当您还考虑管理每个数字证书附带的加密密钥时，这会导致灾难恶化……

• 来自 2020 年 Keyfactor 报告的数据显示，组织表示他们的环境中拥有超过 88,750 个证书和密钥。（也就是说，您和 / 或您的团队每天平均需要管理 243 个证书和密钥。）
• 另一项关键因素报告表明，超过一半 (53%) 的受访者表示他们不知道他们拥有多少这些资产。（这个估计也包括自签名证书。）

为什么您需要尽早拥有 PKI 管理实践

DigiCert 的 2021 年报告数据显示，随着组织的发展，他们管理证书（及其整体 PKI 工作负载）的难度也随之增加：

• 三分之二的企业因证书过期而出现中断。
• 25% 的受访者表示，在过去的六个月中，最多有 6 次与 PKI 相关的中断。

在这样一个相对较短的时间内发生了很多中断。出于显而易见的原因，这可能会对您的品牌产生破坏性影响。

让我们将这与去您最喜欢的餐厅吃饭进行比较。如果您光顾时餐厅的工作人员经常搞砸您的订单并经常提供糟糕的服务，您会怎么想？这对您来说将是一次可怕的经历，并且可能会破坏您对该品牌的信任和信心。不用说，那家餐厅不会长时间成为您的最爱……

您可以采取哪些措施来缓解此问题

使用提供证书自动化的证书管理平台是处理您在提高安全性方面将面临的许多问题的好方法。哎呀，证书自动化甚至是国家网络安全卓越中心 (NCCoE) 的推荐。该中心是美国国家标准与技术研究院 (NIST) 的协作“智囊团”，由受人尊敬的公共、私人和学术实体组成。

在 NIST 特别出版物“保护 Web 事务：TLS 服务器证书管理”(SP 1800-16) 中，他们将证书自动化视为“预防、检测和恢复证书相关事件”的一种方式。而且：

“应尽可能使用自动化来注册、安装、监控和更换证书，或者为继续使用可能导致操作安全风险的手动方法提供理由。”

除了降低网络安全风险之外，PKI 自动化还可以帮助您简化流程以提高效率并让您的员工腾出时间处理其他关键任务。

当然，环境中的 PKI 需求因组织而异。决定因素在很大程度上取决于组织的规模及其所需的证书和密钥的数量。但无论您的规模如何，在许多情况下，使用 PKI 管理工具是解决您在管理证书时面临的问题并让您的团队腾出时间处理其他关键任务的好方法。

要点 4：流氓证书是 PKI 领导者最关心的问题

流氓证书，很像影子 IT，是每个企业都关心的问题。该术语描述存在于您的网络或 IT 基础设施中的未经授权或以其他方式未知的 PKI 数字证书。它与影子 IT 的概念非常相似，影子 IT 描述了应用程序、设备和其他未经授权或未知的元素，这些元素会增加组织的攻击面。换句话说，流氓证书服务是您组织网络防御中的弱点。

如果有人在您不知情的情况下在墙上开洞，几乎不可能保卫您的堡垒。流氓证书是您 IT 环境中您不知道或未跟踪的证书。但是流氓证书不是一个小问题。对于 PKI 领导者来说，这是他们最关心的问题——排在其他潜在问题之前，例如后量子计算准备情况和缩短证书有效期。更糟糕的是：

• 近一半 (47%) 的受访企业 IT 从业人员报告称，他们的组织内经常遇到流氓证书。
• 接受调查的企业报告称，在其环境中拥有多达 1,200 个非托管证书。

您可以采取哪些措施来缓解此问题

您可以做两件主要的事情来缓解流氓证书和管理不善的证书问题：创建记录的资源和使用正确的工具。

创建 PKI 安全策略和程序指南

第一个选项是创建程序文档，帮助您跨越您的 t 和点您的 i。这些政策和程序记录应就以下方面提供指导：

• 为什么以及为了什么用途应该创建或购买 PKI 证书，
• 谁负责管理公共和私有 PKI 证书（及其相应的密钥对），
• 创建、管理和销毁证书和密钥的流程是什么？
• 为员工创建工作流程以请求和获得您最终控制的证书（即，在您的证书管理平台内），以及
• 哪些公共 CA 被批准为您的组织颁发证书。

使用 PKI 管理工具

第二个建议是使用证书管理工具，让您完全了解您的网络。此类平台的目的是帮助您回答重要问题，例如：

• 我的网络、网站或组织 IT 环境中的其他地方使用了哪些证书？
• 这些证书在哪里以及如何使用？
• 它们什么时候到期？
• 谁负责跟踪和管理每个证书？

理想情况下，此工具应提供 PKI 自动化，以帮助您组织的公钥基础架构功能并支持您的业务扩展，以鼓励而不是阻碍其增长。

看看 DigiCert 的 PKI 自动化研究调查的对象和内容

DigiCert 的报告数据是对 400 家拥有 1,000 多名员工的企业的 IT 专业人员进行调查的结果。该研究调查了北美、拉丁美洲、欧洲、中东和非洲和亚太地区的员工，由德克萨斯州达拉斯的 ReRez Research 进行。

接受调查的从业者包括这些组织中的以下 IT 专家：

• IT 通才，
• IT 安全经理，以及
• IT 主管。

企业 PKI 自动化的最终结论

DigiCert 的研究数据表明，在 PKI 安全方面最成功的企业是那些承认并接受实践强大证书管理价值的企业。这些通常是较大的、高 PKI 证书量的组织，需要管理数万（或超过 100,000 个证书）的证书。  

除了想要避免意外的证书过期之外，他们还更专注于最大限度地减少管理证书所花费的时间。很可能由于这个原因，这些 PKI 领导者已经在其组织内实施 PKI 自动化的可能性是其他人的六倍。