2025-02-17

Mozilla不信任Entrust根所引发的连锁反应

Mozilla宣布不信任Entrust所颁发的TLS/SSL证书的决定引发了网络安全界的关注。各种头条新闻——包括DigiCert网站中的许多新闻——聚焦于不信任背后的原因，以及Entrust客户需要在何时、何地以及如何替换其证书。

然而，整个事件远远超出了基于浏览器的交互。Mozilla的决定影响巨大，波及依赖其信任存储的每个生态系统，对平台、应用程序和最终用户都有重大影响。

不限于Firefox：Mozilla决定不信任的巨大影响

Mozilla对Entrust根的不信任并非仅限于Firefox，还有可能传导到许多平台和应用程序。这是因为Mozilla信任存储依赖于开源生态系统中的许多非浏览器TLS客户端，包括Linux环境、Oracle系统、curl开发工具和其他每天都在被使用的关键技术。

当这些系统遇到不受信任或过期的证书时，不仅会造成暂时的不便——还可能会使运行终止。以下是受影响的系统和工具的详细信息。

Oracle系统

Oracle的企业工具在很大程度上依赖于受信任的证书以实现安全通信。对Entrust根证书的不信任会影响这些环境，但真正的问题在于Java对这些根证书的依赖。

Java是无数任务关键型应用程序的支柱，从Salesforce等CRM解决方案到大数据分析和移动应用程序等都是如此。如果自动化系统因证书问题而出现故障，就会造成停机和中断，这意味着此级别的信任崩溃不仅会扰乱工作流程，还会危及企业武器库中一些最重要工具的安全性和可靠性。

Linux发行版

许多Linux发行版使用Mozilla的网络安全服务（NSS），这是Red Hat、Google和其他公司在各种产品中使用的加密库的开源实现。这种不信任会产生多米诺效应，影响包管理器、系统更新和其他基本流程，从而在基于Linux的各种环境中造成广泛的挑战。

curl与OpenSSL开发人员

对于进行API调用、自动化脚本以及与Web服务的交互，curl工具必不可少。OpenSSL同样是在服务器和网站进行安全通信的基础。在证书失去信任时，依赖证书的开发人员将面临错误、延迟和中断，这些问题会波及整个开发和部署生命周期。

电子邮件客户端

即使是像Mozilla Thunderbird这样拥有强大用户群的电子邮件客户端也无法幸免。Thunderbird兼作个人信息管理器，处理日历、联系人和RSS提要。不受信任的Entrust根证书可能会中断这些功能，给依赖其无缝功能的用户带来麻烦。

为了保持安全性，您的组织可以开展哪些工作

信任对于实现现代数字生态系统的互联互通至关重要。对于组织来说，为根存储的变化做好准备并做出响应以确保其数字通信的安全性和可信度至关重要。

请遵循以下步骤，以确保不受信任的根不会影响您的组织。

1.持续审计：致力于定期审计和持续监测，以识别Entrust根和由Entrust颁发的证书，这样您可以检测出受影响的证书并用受信任的证书对其进行替换。

2.制定事件响应计划：维护最新的事件响应计划，以高效处理证书颁发机构（CA）的问题，并移除任何固定到Entrust根或ICA的证书。

3.实现合规监测自动化： 使用DigiCert的免费开源证书检查工具pkilint等工具对您的证书进行自动化合规检查。

4.实现证书管理自动化：为您的证书生命周期管理（CLM）实现自动化，以便在问题证书成为真正的问题之前快速发现并替换证书。

保护您的组织免受未来威胁的最佳方法

许多组织仍然依赖于手动流程，比如用电子表格追踪证书——这种方法在出现问题时很难进行调整。

实施DigiCert Trust Lifecycle Manager等自动化CLM工具可确保无缝监测、续订并替换每个证书。通过证书管理自动化，您的组织将获得所需要的加密敏捷性，以避免服务中断，保持合规性，并在证书被吊销时遵循CA/B论坛严格的最后期限。

上一篇：买SSL证书送iPhone，天威诚信开年钜惠来袭！

相关新闻