Entrust被Google取消信任的思考 – 可信CA还可信吗?

就在6月27号Google Chrome安全团队宣称Chrome在2024年10月31日之后将不再信任多个Entrust根证书。这一事件对行业有着比较大的影响，并且在网络安全领域引起了广泛的关注和深刻的反思。

浏览器公司权力过高
可能导致整个可信CA行业的不可信

Entrust，这个曾被誉为历史最悠久的CA之一，如今却面临被主流浏览器抛弃的命运。揭示了可信证书会随时不可信或者说只是暂时可信。它的遭遇，如同一块多米诺骨牌，引发了行业内外对CA行业信任度的广泛质疑。所谓可信CA证书，其实只是建立在浏览器公司认可之上的脆弱泡沫，随时可能破灭。

浏览器产商越来越像行业的“独裁者”，凭借其市场地位对CA进行的任意裁决。这种“权力游戏”不仅让CA机构感到自身地位的卑微，也让整个行业的公正性蒙上了一层阴影，不确定谁会是下一个被“取消信任”的对象。

目前还可信的CA就安全可信吗？

Entrust被取消信任后，笔者发现很多同行开始抢Entrust客户，在官网上可以提供Entrust客户转移方案等。看上去Entrust在菜单上，各大CA在餐桌上，而实际上所有CA都在菜单上，Google、微软、Firefox等浏览器或操作系统公司才是在餐桌上。

想象中
↓↓↓

实际上
↓↓↓

• 2018年Symantec被取消信任（后通过“合并”Digicert，以换品牌的方式重新提供服务）
• 2017年国内沃通被取消信任（后通过贴牌的方式继续提供服务）

各种案例说明，在这个由浏览器公司主导的规则下，没有永恒的可信，只有暂时的可信。而对于最终用户而言，在寻找新临时可信CA的同时，也需要思考如何建立更加稳固的可信体系。仅仅依赖某一家临时可信的CA机构认证是远远不够的，更重要的是要有多家CA的选择，并建立灵活高效的证书管理流程，以迅速应对潜在变化，确保服务连续性不受影响。

SSL证书自动化运维工具
企业应对“临时可信CA“的最终解决方案

在接连的CA被不受信任事件发生后，企业需要拥有多CA的SSL证书自动化运维工具就显得格为重要！

多CA的SSL自动化运维系统可以在企业遇到CA证书不可信时，帮助企业完成一键替换。

除了一键更换证书品牌之外还需要解决大规模部署SSL证书的难题。能够对证书完成自动申请、下载、续签、重签、吊销以及换品牌等操作。此外自动化运维系统还需要具备对证书的自动发现、自动续费、自动部署、实时监控、日志管理、多公有CA、提前预警和合规判断等。 

SSL证书自动化运维九大基础功能

1. 各种证书的操作方式（申请、下载、续签、重签、吊销以及换品牌）。
2. 自动化发现部署的所有证书，避免运维人员手动的分别上传证书。
3. 自动续费会在证书到期前自动续费购买证书。
4. 自动部署将在购买证书后将证书自动推送到指定位置（支持多平台）。
5. 实时监控能够监控证书的实时状态、证书到期、证书部署情况等。
6. 日志管理确保了数字证书管理的透明性和可追溯性。
7. 多公有CA接口能够保证，当前证书的CA出问题时拥有多种备选。
8. 提前预警要对即将到期的证书进行提醒。
9. 合规判断能够通过内置的合规规则，一旦发现不合规情况将立即发出预警。

证书自动化运维的基础九大功能，最大限度的简化证书管理的复杂性，灵活应对行业的各种变化，实现真正的自动化运维！

从信任CA进入信任CLM工具

考虑现有可信CA随时可能暴雷，同时证书生命周期也越来越短，选择对接多CA的CLM无疑是一个非常明智的选择。仅仅依靠暂时可信的CA进行单点管理已经无法满足日益复杂的网络环境和业务需求，多CA的CLM自动化运维系统才是所有企业的选择。企业将从信任某个CA的SSL证书慢慢转为信任那些能够长期安全稳定运行的CLM工具，通过该工具来确保企业总是能够获得可信CA服务。

买SSL证书
免费享受锐安信CLM服务

上述SSL证书自动化运维的基础九大功能：锐安信CLM 自动化运维系统SaaS全都囊括其中。不仅如此，锐安信CLM自动化运维系统是免费提供的。

企业在锐成购买SSL证书的同时，即可享受CLM全套的免费服务。这一优惠政策，无疑降低了企业的运营成本，同时也提升了证书管理的便捷性和安全性。

作为一款全面、高效的数字证书管理服务工具，通过精确的证书跟踪、及时的预警系统以及全面的合规性监控，锐安信CLM帮助企业轻松应对数字证书管理的各种挑战，确保企业信息安全无懈可击。

在未来的发展中，我们将继续深化技术研发和功能创新，为企业提供更加完善的数字证书管理解决方案，共同推动行业的进步与发展。若你想了解更多关于锐安信CLM以及免费体验的信息，请联系我们获得支持。