数字证书与PKI：网络安全教训与新兴挑战

2024年的数字证书领域可谓跌宕起伏。谷歌决定取消对Entrust数字证书的信任、DigiCert的证书撤销事件以及重大证书中断等事件，突显了在当今数字环境中管理和保护数字证书的至关重要性。

2025年，在我们为即将到来的更大身份转变（如苹果提出的缩短证书寿命和后量子密码学）做准备时，反思这些近期事件将变得至关重要。

公钥基础设施（PKI）事件频发的火热夏季

去年下半年，几起值得注意的PKI相关事件登上了头条。7月，谷歌公开宣布决定取消对Entrust数字证书的信任。在2024年10月31日之后，谷歌Chrome浏览器不再信任任何Entrust证书。谷歌将此决定归因于合规性失败、尽管有承诺但缺乏改进，以及在公开披露事件后未能提供"可衡量的进展"。

对许多企业来说，这引发了一场更换受影响证书的竞赛，以避免代价高昂的业务中断。随着谷歌Chrome占据浏览器市场65%的份额，使用Entrust证书的公司面临着安全警告吓阻潜在客户和侵蚀信任的风险。此外，转向新的证书颁发机构（CA）带来了重大的财务挑战。

7月下旬，DigiCert因域名控制验证不当而面临证书撤销事件。该事件影响了其0.4%的证书（总共约216,400个证书）。受影响的企业只有24小时的时间在其PKI基础设施中更换被撤销的证书。这个短暂的时间表几乎不可避免地导致业务停机，对于无法迅速采取行动的公司来说，造成了巨大的成本和潜在收入损失。

夏季的PKI挑战仍在继续，英国银行发生了重大证书中断事件。9月，ServiceNow也因证书过期而出现问题。过期的证书对企业来说完全是坏消息，使它们面临重大的业务中断、客户信心侵蚀以及对其跟踪和管理安全凭证能力的质疑。

企业能从这些事件中学到什么？

今年夏季的PKI事件为企业提供了宝贵的教训，强调了仔细检查其PKI和密码基础设施的重要性。所有事件之间的共同点是，每个事件都强调了主动管理和强大保障措施的必要性，以减轻风险并避免中断。

企业可以从这四起PKI事件中学到的最重要一课是，在当今和未来的现代环境中，加密敏捷性至关重要。在Entrust和DigiCert的PKI事件中，重要的是要记住错误可能发生。行业将不可避免地不得不做出艰难的决定，即在某个时候信任什么和不信任什么。由于这些决定超出了受影响企业的控制范围，组织必须依靠加密敏捷性来有效地大规模管理证书和信任，并无缝更换过期的证书，确保对业务运营的干扰最小。

企业也应该在可能的情况下依赖自动化。在每个组织中，都有成千上万的数字证书需要安全团队管理和保护。无论组织的安全团队规模有多大或多强大，都没有一个团队能够单独有效地完成这项工作。尤其是在一长串其他需要人工关注的首要任务之上。这在网络安全的许多领域都是如此，但首席信息安全官（CISO）需要在他们能够的地方投资自动化。

底线是证书中断是可以避免的。依赖自动化并将加密敏捷性纳入其机器身份管理策略的企业可以避免因未能正确管理和保护其PKI基础设施而带来的昂贵后果。与证书相关的中断源于对组织证书环境的可见性和控制不足。通过自动化证书发现并能够通过加密敏捷性无缝进行更改，组织可以消除证书中断的风险。