缺乏自动化和发现的企业,面临恶意证书、无管理证书和因证书意外到期导致的中断带来的挑战;领先企业则重视实施自动化
2021年9月29日,中国 北京——全球领先的 SSL/TLS、物联网和其他 PKI 解决方案提供商 DigiCert, Inc. 发布了 2021 年 PKI 自动化状况调查。该调查显示,一家典型的企业目前管理着超过 50,000 个公共和私密可信 PKI 证书。如果处理不当,手动管理如此大量的证书可能会导致代价高昂的中断。三分之二的企业曾遇到因证书意外过期导致的中断,而 25% 的企业仅在过去六个月里就曾遇到五至六次这样的中断。由于这些问题和其他缘故,企业对于采用 PKI 自动化产生了浓厚的兴趣。
领先企业已实施自动化的几率比其他企业高六倍。前者符合 PKI SLA 要求,而且在自行报告不足方面做得更好。
将近三分之二的企业对于管理证书需要耗费的时间表示担忧。另外,缺乏可见性也是一个问题。37% 的企业将证书交给三个以上部门管理,从而造成混乱。在一家典型的企业中,实际上无人管理的证书多达 1,200 个,而将近半数 (47%) 的企业经常发现所谓的“恶意”证书(即在 IT 团队不知情或未管理的情况下实施的证书)。
DigiCert 产品高级副总裁 Brian Trzupek 表示:“证书数量已经大幅增长。此外,自 2018 年以来,公共 TLS 证书的有效期已经从三年缩短到一年。因此,企业发现,手动管理数字证书流程变得愈加困难。他们正在寻求证书自动化,但需要在具体做法上得到保证,也需要了解这样做的长期成本和安全益处。”
Smart Communications 的 SaaS 运营经理 Michele Liberman 表示:“因为 PKI 证书过期而导致的服务中断,对所有企业而言都是持续存在的风险,如今,由于续订周期变短,这种风险加倍了。管理证书的开销很高,因为每个证书的过期、申请、创建和部署都需要监控。通过自动化来降低风险和减少内部的繁重工作,具有极大的商业意义。”
大多数企业正在考虑实施 PKI 自动化,91% 的企业至少正在讨论这一举措。只有 9% 的企业表示目前并未讨论,也没有打算实施 PKI 自动化。大多数企业 (70%) 预计会在未来 12 个月内实施解决方案。四分之一 (25%) 的企业实际上已经进入了实施解决方案的阶段,或者已经实施完毕。
各家企业不尽相同
该调查提出了一系列问题,用以判断受访企业在多项 PKI 指标上的表现优劣。合计评分之后,将受访企业分为三组:
领先者:表现最佳的企业
落后者:表现最差的企业
居中者:表现尚可的企业
然后,该调查将领先者和落后者进行比较,以分析两组之间的差异并探讨领先者表现更佳的具体方面。
领先者在各个方面的表现比落后者要好两到三倍,包括降低 PKI 安全风险、避免 PKI 停机、满足 PKI 相关的 SLA 等。落后者在许多 PKI 相关方面被扣分,包括生产率降低、合规问题、客户流失,甚至还有收入减少。
PKI 领先者的经验启示
PKI 领先者更倾向于认为 PKI 自动化对公司未来很重要。此外,PKI 领先者对于管理 PKI 证书所耗费时间的关心程度是落后者的两倍。请阅读报告,详细了解领先者采取的做法以及这些做法对其业务的积极影响。
建议
DigiCert 建议企业着手应对证书管理流程(包括业务流程)的自动化,以确保能持续遵循 PKI 部署的最佳做法。这包括:
证书:
识别并创建所有证书的清单,从 TLS、代码签名到客户端证书等都应包含在内。
修复不符合公司策略的密钥和证书。
采取颁发和吊销证书的最佳做法,以提供保护。对注册、颁发和续订流程进行标准化及自动化。
证书流程:使用集中管理可见性、控制度和自动化流程的软件,解决手动或无人管理的证书流程,例如代码签名、文档签名、电子邮件证书或其他身份和权限解决方案。
该调查由 ReRez Research 开展,调研对象为北美、欧洲、中东和非洲、亚太地区和拉丁美洲 400 家员工人数不少于 1,000 人的企业的 IT 专业人员。
