PKI市场正在经历一系列的变化,以应对新的挑战。在整个行业,新的计划正在生效或被提出,以继续防御不断变化的威胁,作为对信息安全领域日益增长的挑战的回应。
这些建议可能会对IT团队造成压力,使其在遵守这些新的需求和法规时确保其组织的安全。让我们来看看正在进行的更改和建议,以及IT和安全团队可以如何准备。
S/MIME基线要求
由9月1日起,一套新的安全/多用途互联网邮件扩展(S/MIME)证书标准将生效。新的基线要求由认证机构/浏览器论坛(CA/B论坛)制定,要求证书机构(CA)为S/MIME证书提供指定的组织或个人验证。这标准化了整个行业的验证协议,以增强在线通信的安全性、机密性和完整性。
更改将包括四种不同的验证类型,包括邮箱验证、组织验证、赞助商验证和个人验证。CA/B论坛将介绍S/MIME的新一代,包括传统的、严格的和多用途的,以定义证书配置文件和它们在新要求下的位置。
S/MIME是一种使用数字签名发送加密电子邮件的协议。通过使用S/MIME,通过签名来验证电子邮件的来源,同时表明消息没有被篡改,同时加密确保了发送方和接收方的隐私和安全。这些需求旨在保护用户隐私,并通过确保安全性和兼容性保持一致,进一步验证用户身份及其对电子邮件地址的控制。
建议将证书有效期改为90天
在2023年3月,谷歌提出了缩短SSL / TLS证书寿命的计划,将有效期限制在90天。虽然目前还没有实施这些建议的改革的日期,但如果它们得以推进,这些计划将带来重大的行业转变。
该提案顺应了网络安全行业的一种趋势,即减少SSL / TLS证书的寿命,以减少对组织的恶意攻击。以前,SSL / TLS证书的最长有效期是5年,之后又多次缩短,直到现在的有效期是398天,即13个月。
Mozilla计划不再信任旧的根证书
Mozilla宣布计划从2025年起不再信任旧的根S/MIME和SSL / TLS证书。S/MIME证书将在18年后删除信任位,SSL / TLS证书将在15年后删除信任位。这一举措是由于浏览器希望提高行业内加密的灵活性,并确保所有CA根证书层次结构满足当前的根证书需求。
目前,许多老的CA根证书不符合Mozilla的根证书库策略,也不符合CA/B论坛的基线要求。随着这种变化,Mozilla强调行业安全和策略正在不断发展,以跟上需求和挑战,这意味着CA的层次结构在此过程中会过时。更新Mozilla的根策略将确保CA的层次结构将继续随着现有行业需求和浏览器需求发展,并保持完全兼容。
为什么这些变化很重要?
虽然这些变化将有助于改善业务安全状况并促进互联网安全,但负责组织安全的IT团队无疑会在组织自己以适应这些新需求时感受到压力。
许多IT团队将不得不更新他们的安全程序以符合这些需求;一个艰难的壮举的IT团队手动操作他们的安全管理,通过存储和跟踪他们的证书库存表格。这些新的变化和建议是为了鼓励组织评估其当前的安全状况,使用过时程序的IT团队将需要赶上,否则将使公司安全和基础设施处于危险之中。
自动化可以帮助IT团队了解PKI市场的最新变化
对于IT团队来说,管理新变更和新提案的安全性的最有效方法是自动化证书管理。目前,许多IT团队仍在手动进行证书管理,这给IT管理层及其员工带来了越来越大的压力,特别是在网络安全方面的支出削减导致IT团队资源减少的情况下。
自动化是IT团队管理业务安全需要依赖的一种资源。证书管理自动化还将有助于加强业务安全态势,并通过重新分配证书管理责任来提高安全责任。
