为加强在线安全性，Google Chrome 宣布将不再信任著名证书颁发机构 (CA)Entrust 颁发的证书。该决定将于 2024年11月1日起生效，凸显了保持严格合规标准的重要性。此举预计将对网站安全和整个互联网的用户信任产生广泛影响。

理解谷歌的决定

多年来，Entrust 一直是 Chrome Root Program 中受信任的实体之一，为用户确保网站的真实性。然而，谷歌最近的评估突显了 Entrust 令人不安的不合规模式和安全措施不足。这些发现导致谷歌决定断绝对 Entrust 的信任，此举旨在确保用户安全并维护在线通信的完整性。

Google 强调的 Entrust 关键问题

• 屡次违反合规规定

  Entrust 并未始终满足 CA 运营的行业标准，而这对于确保其颁发的证书的安全性至关重要。

  
  

• 未能实施改进

  尽管 Entrust 被指出存在多种缺陷，但它并未做出必要的改进以增强其安全措施。

  
  

• 事件处理缺乏进展

  Entrust 未能充分解决公开事件报告中发现的漏洞，导致主要浏览器供应商的信任度下降。

  
  

Google 的决定并非没有先例。此前，Mozilla 曾发布了一份详细报告，其中也对 Entrust 的运营实践和是否符合行业标准表示了严重担忧。

证书颁发机构的作用

像 Entrust 这样的证书颁发机构 (CA) 在颁发用于验证网站合法性的SSL/TLS证书方面发挥着重要作用。这些证书可实现用户与网站之间的加密通信，确保数据的完整性和安全性。然而，CA 承担的责任非常重大，其运营失误可能会导致严重后果。

对用户和网站所有者的影响

对于用户

11 月截止日期之后，Chrome 用户在访问继续使用新 Entrust 证书的网站时可能会遇到“您的连接不是私密的”之类的警告。这可能会给访问这些网站设置障碍，并可能降低用户对这些网站的信任度。

对于网站所有者

网站所有者的当务之急是在 11 月 1 日之前转换到其他 CA，以免被 Chrome 标记。在此日期之前颁发的现有证书将暂时保持受信任，但必须采取主动措施来维护安全可靠的在线状态。

谷歌的立场凸显了人们更广泛的期望，即 CA 必须遵守最高安全标准，尤其是在量子计算等威胁日益突出的情况下。

通过现代证书生命周期管理解决方案增强安全性

鉴于 Google 最近决定停止认可 Entrust 颁发的证书，组织迫切需要将其数字证书过渡到更值得信赖的证书颁发机构 (CA)。这种情况凸显了现代证书生命周期管理 (CLM) 解决方案在维护强大的安全性和运营完整性方面发挥的关键作用。

当某个 CA（如 Entrust）由于合规性问题或其他安全问题而被视为不可靠时，它会对组织的数字基础设施构成重大风险。必须及时识别和替换不受信任的 CA 颁发的证书，以防止潜在的安全漏洞并维护用户和客户的信任。在这种情况下，现代 CLM 解决方案变得不可或缺，原因如下：

1. 自动证书发现和迁移
• 高效过渡

  CLM 解决方案可以快速扫描并识别组织网络内所有 Entrust 颁发的证书。这种自动化功能减少了所需的手动工作量，并确保在转换过程中不会遗漏任何关键证书。

  
  

• 集中管理

  通过将所有证书信息整合到一个地方，CLM 解决方案提供了一个简化的流程来管理向新的、受信任的 CA 的迁移，从而显著减少了停机时间和运营中断。

  
  

2. 增强加密敏捷性
• 快速适应

  现代 CLM 解决方案采用加密敏捷性设计，使组织能够迅速用更新、更安全的算法替换过时或受损的加密算法。在从不受信任的 CA 转移时，这一点至关重要，可确保组织的加密实践保持稳健和最新。

  
  

• 主动缓解威胁

  快速适应新加密标准的能力有助于组织防范新兴威胁，例如量子计算的进步所带来的威胁。即使加密环境发生变化，这种灵活性也能确保持续的安全性。

  
  

3. 简化合规性和安全性
• 遵守法规

  CLM 解决方案通过自动执行策略和监控证书使用情况来确保组织遵守行业标准和法规。这在替换不合规 CA 颁发的证书时尤为重要。

  
  

• 全面监督

  持续的监控和详细的报告功能提供了证书生命周期的可见性，使组织能够快速解决过渡期间出现的任何合规性或安全性问题。

  
  

4. 成本和运营效率
• 减少人工

  自动发现、颁发和更新证书可最大限度地减少手动证书管理所需的时间和资源。在快速替换大量数字证书时，这种效率至关重要。

  
  

• 关注战略重点

  通过简化常规证书管理任务，CLM 解决方案可以释放 IT 资源以专注于更具战略性的计划，例如增强整体安全态势和提高运营效率。

  
  

5. 主动问题管理
• 警报和通知

  现代 CLM 解决方案包括内置警报功能，可通知管理员证书即将过期或其他重要更新。这种主动方法可确保及时解决问题，从而降低在过渡到更受信任的 CA 期间服务中断的风险。

  
  

• 综合报告

  有关证书状态和生命周期的详细报告提供了宝贵的见解，使组织即使在面临重大变化的情况下也能够维持安全且合规的证书环境。

  
  

当组织需要应对从一个 CA 过渡到另一个 CA 的复杂性时，现代 CLM 解决方案提供了必要的工具来确保顺利、高效、安全地迁移。它们提供维持强大安全性和运营完整性所需的自动化、可见性和合规性功能。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 关于PKI审计您需要了解的一切

• 【建议更新】适用于Windows的SAC 10.9和SafeNet Minidriver 10.9

• 代码签名流程：代码签名进度等级指南

• 提升您的安全性：实现PKI现代化的7个令人信服的理由

• 简化密钥和证书的审核和修复