如果你有大量的Web應(yīng)用，管理所有的SSL證書(shū)可能會(huì)很困難。與企業(yè)SSL證書(shū)管理的相關(guān)關(guān)鍵任務(wù)有許多，而忽視或錯(cuò)誤地處理任何一個(gè)任務(wù)都會(huì)導(dǎo)致Web應(yīng)用被利用。在本文中，我們將看到幾個(gè)在實(shí)施和管理SSL證書(shū)方面最常見(jiàn)的錯(cuò)誤，并討論如何管理這些證書(shū)。

如今，許多大型公司發(fā)現(xiàn)自己管理著成千上萬(wàn)的證書(shū)，不犯錯(cuò)誤而依靠人工管理好這些證書(shū)是不可能的。

對(duì)于剛開(kāi)始涉足SSL證書(shū)管理的公司來(lái)說(shuō)，其涉及的許多任務(wù)可能很驚人。例如，證書(shū)需要購(gòu)買(mǎi)、部署、到期更新等。這些都要花費(fèi)時(shí)間，當(dāng)許多企業(yè)的幾十或幾百個(gè)應(yīng)用或域中的證書(shū)成倍增加時(shí)，問(wèn)題尤為嚴(yán)重。

這就涉及到一個(gè)問(wèn)題：確保每一個(gè)證書(shū)都適合于與之配對(duì)的web應(yīng)用。是否需要比較昂貴的擴(kuò)展認(rèn)證證書(shū)呢(因?yàn)檫@種證書(shū)是由可信的CA提供并審查的)?或者保險(xiǎn)系數(shù)稍低但便宜的證書(shū)適合企業(yè)呢?比如，對(duì)于非面向公眾的web應(yīng)用是否合適?

證書(shū)廠商所提供的產(chǎn)品組件令人迷惑。目前，有幾種不同的驗(yàn)證等級(jí)、不同的哈希類(lèi)型、長(zhǎng)度和保證(實(shí)際上是保護(hù)終端用戶而不是證書(shū)所有者)。要知道某個(gè)特定應(yīng)用需要哪類(lèi)證書(shū)是很困難的。

更糟糕的是，研究人員已經(jīng)發(fā)現(xiàn)，超過(guò)半數(shù)的公司在某點(diǎn)上會(huì)丟失數(shù)字證書(shū)，或者公司網(wǎng)絡(luò)上證書(shū)的由來(lái)無(wú)從查起。這是因?yàn)?，開(kāi)發(fā)者或其它雇員創(chuàng)建了一個(gè)證書(shū)卻沒(méi)有告訴它人，以至于別人都不知道。

多數(shù)公司借助電子數(shù)據(jù)表人工管理大量的數(shù)字證書(shū)。這會(huì)導(dǎo)致錯(cuò)誤，比如數(shù)字證書(shū)丟失、不匹配或標(biāo)簽錯(cuò)誤等。證書(shū)有可能在不經(jīng)意間就到期，這意味著CA不再考慮網(wǎng)站或web應(yīng)用的安全性和可信性。如果受感染的Web應(yīng)用是面向公眾的，這有可能成為一個(gè)代價(jià)很高的錯(cuò)誤，它還有可能導(dǎo)致企業(yè)的聲譽(yù)受損，或者訪問(wèn)者的瀏覽器阻止訪問(wèn)整個(gè)網(wǎng)站。這是很多知名系統(tǒng)中斷的原因，也常常是管理員調(diào)查的最終原因之一，從而導(dǎo)致更多的宕機(jī)時(shí)間。

如果發(fā)行企業(yè)證書(shū)的CA受到危害，就會(huì)導(dǎo)致另一個(gè)問(wèn)題，比如2011年的DigiNotar和Comodo，以及今年初的TurkTrust，證書(shū)就會(huì)被其它CA廢除，所以在一個(gè)客戶端連接到被感染的服務(wù)器時(shí)，證書(shū)就不再合法。如果在整個(gè)企業(yè)水平上沒(méi)有適當(dāng)?shù)腟SL證書(shū)管理，要判斷企業(yè)有多少證書(shū)(如果有的話)不合法就不可能了。

幸運(yùn)的是，仍有方案可以解決企業(yè)的證書(shū)管理難題，其中之一就是自動(dòng)化。自動(dòng)化工具可以搜索網(wǎng)絡(luò)，并記錄所發(fā)現(xiàn)的證書(shū)。這種工具通常將證書(shū)分配給企業(yè)所有者，并管理證書(shū)(雖然多數(shù)證書(shū)并不支持通過(guò)不同CA進(jìn)行更新)的自動(dòng)更新。它還可以檢查證書(shū)是否部署正確，用以避免錯(cuò)誤地使用一個(gè)老證書(shū)。然而，自動(dòng)化的工具并不完美，而且要求人工干預(yù)，因?yàn)閽呙杵饔锌赡苓z漏存放在它無(wú)法訪問(wèn)位置的證書(shū)。

在購(gòu)買(mǎi)這些自動(dòng)化工具時(shí)，要確保軟件能夠管理來(lái)自所有CA的證書(shū)。有些軟件只能管理特定CA頒發(fā)的證書(shū)，而且容易遺漏企業(yè)域上的某些證書(shū)，即使你相信你僅使用一個(gè)供應(yīng)商也是如此。

規(guī)劃和管理某些事件的完善的企業(yè)證書(shū)極其重要。應(yīng)當(dāng)編寫(xiě)并交流管理過(guò)程，詳述在CA遭到攻擊后該做什么，以及如何替換企業(yè)網(wǎng)絡(luò)中的證書(shū)。如果沒(méi)有提前計(jì)劃好，追查來(lái)自遭受損害CA的證書(shū)將會(huì)很費(fèi)時(shí)間。

本文討論了與人工管理數(shù)字證書(shū)相關(guān)的問(wèn)題。如果您的企業(yè)是依靠人工管理SSL證書(shū)，現(xiàn)在也許正是投資購(gòu)買(mǎi)自動(dòng)化方案的時(shí)候，即使你認(rèn)為你了解所有的證書(shū)，使用后你可能會(huì)大吃一驚。