PKI前线｜Google不再信任 Entrust背后：企业需要关注什么？

行业最新发生的大事件——Google Chrome宣布不再信任多个Entrust根。后续，Entrust方也给予了回应，Entrust首席执行官托德·威尔金森 （Todd Wilkinson）表示“我们致力于改进”，并进行了大规模的组织变革。那么，更深入些，Entrust回应了哪些内容，在这件事情的背后，企业又应该关注什么？

Entrust的回应

托德·威尔金森提到，Google和Mozilla担忧的证书“错误颁发”事件源于“我们对CA/B论坛合规要求的误解”。 

通过CA/B论坛可以看到几个公开的错误报告，显示Entrust自己员工承认“人为错误和流程管理不足”是导致错误发行事件的原因，并承认他们未能将事件通知Apple和Microsoft Root计划团队。

因此，托德·威尔金森表示，Entrust已经在组织、流程和政策上做出了改变。例如，已将CA产品合规团队整合到全球合规和运营团队中，以充分利用这个更大组织的更强大能力。

同时，建立一个跨职能变更控制委员会和一个技术变更审查委员会，以便在未来发现类似问题。“我们正在加速SSL/TLS证书合规性和自动化相关工作的研发，同时改进我们公共承诺的跟踪，并修订我们的公共事件响应实践，以确保此类问题不再发生。”托德·威尔金森强调。

对于此次“Google Chrome 不再信任”动作，Entrust在其博客中表示，可以继续为客户提供服务：所有在2024年10月31日前颁发的Entrust TLS证书，在到期前都会被Google默认信任。10月31日后，将具备满足客户证书需求的运营能力，必要时还可以提供替代证书甚至合作伙伴证书。

图源：Entrust博客

至于未来，Google Chrome的安全技术项目经理瑞安·迪克森（Ryan Dickson）表示，未来可能会再次信任Entrust证书。“鉴于公共CA对互联网生态系统可能造成的危害，我们鼓励Entrust继续致力于他们最新报告中描述的原则，并展示真正的变化。通过这样做，他们可能有机会重新获得作为公共CA所需的信任，以服务于未来。”他说道。

（图源：google）

企业应该关注什么？

针对这件事情，企业需要关注什么？我们先看一下行业内其他人的观点——

Sectigo首席体验官蒂姆·卡伦（Tim Callan）表示：“Entrust事件提醒我们，CA必须非常重视其作为公众信任管理者的角色，严格遵守最高标准，这不仅是为了其业务，也是为了所有依赖他们的人和企业。

随着证书90天有效期政策的加速到来，以及量子计算的影响也即将出现，事情并没有变得简单。CA保持领先地位并完全遵守CA/B论坛规则和基本要求比以往任何时候都更加重要。”

Keyfactor首席PKI官（托马斯·古斯塔夫松）Tomas Gustavsson则评论道：“Google的决定……不可避免地会对我们依赖进行在线业务的信任系统产生许多下游影响。这突显了组织拥抱CA和加密敏捷性的必要性。即使是最好的CA也可能因人为错误而受到影响，始终存在某批证书会被吊销或CA会从网页浏览器的信任存储中移除的风险。为了确保业务连续性和避免安全风险，组织需要具备从一个CA识别和替换证书到另一个CA的敏捷性。”

他补充道：“我们建议IT和安全领导者仔细评估他们的PKI和证书环境。虽然不幸，但企业需要迅速采取行动识别和替换受影响的证书，而这不能手动完成。”

可以说，这对组织而言是一个重要的警示，表明数字信任不是静态的，它始终面临着各种威胁和挑战。

保持韧性唯一的方法是确保我们对所有证书有完全的可见性，并建立自动化的流程来处理证书的管理和问题的补救。

最为关键的是，组织必须具备敏捷性、灵活性，能够在需要时添加、迁移或切换CA，从而确保业务运营的连续性和稳定性。

只有这样，才能在不断变化的数字环境中保持领先地位，确保企业的安全和信任不受影响。

展望未来——
证书敏捷性是加密敏捷性的基石

证书敏捷性是加密敏捷性的基石。而加密敏捷性不仅仅是对像Entrust这样的当前情况做出响应，还包括对证书生命周期的积极管理。这涉及自动更新证书、确保符合最新的安全协议要求，以及建立处理错误颁发证书的健全流程。通过将加密敏捷性整合到安全基础设施中，企业可以显著降低数字身份被盗的风险。

证书敏捷性的实现需要企业的IT及安全团队采用灵活、主动的安全策略——

全面的可见性和控制：

确保全面了解所有证书的情况，包括受影响证书的跟踪和状态，优先考虑替换以减少服务停机时间。

证书生命周期自动化管理：

应当实施自动化的证书颁发、更新和吊销流程，以确保持续的政策合规性，并降低手动操作错误的风险。

增强的安全防御：

通过确保所有证书符合最新的行业标准和最佳实践，加强公司对受损证书相关风险的防范。

无缝集成：

选择统一的证书管理方法，以在所有系统中实现安全策略的平稳过渡和一致执行。

结论

展望未来，面对日益复杂和动态的网络威胁，加之“90天证书有效期”政策的落地，后量子时代的到来，企业更需要将“数字信任”刻入其战略的核心。实现证书敏捷性和灵活性不仅是响应当前突发安全事件，构建数字信任的策略，更是企业保持业务连续性和安全性的关键。

来源｜公开资料
图源｜Pixabay
编辑｜公钥密码开放社区
重要声明：本文来自公钥密码开放社区，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。

相关阅读：Entrust被Google取消信任的思考 – 可信CA还可信吗?