在當(dāng)今充滿(mǎn)威脅、合規(guī)導(dǎo)向的世界中，加密沒(méi)有討價(jià)還價(jià)的余地。然而，隨著企業(yè)規(guī)模不斷擴(kuò)大并采用云原生架構(gòu)，企業(yè)管理加密的方式——特別是企業(yè)如何頒發(fā)、追蹤和輪換證書(shū)——變得前所未有的重要。 

許多開(kāi)發(fā)團(tuán)隊(duì)和平臺(tái)架構(gòu)師嚴(yán)重依賴(lài)開(kāi)源加密庫(kù)和內(nèi)部自動(dòng)化腳本進(jìn)行密鑰輪換。這些工具提供了速度和靈活性，而且它們?cè)谀承┉h(huán)境中能發(fā)揮作用。但將它們作為企業(yè)級(jí)證書(shū)管理的替代品是一種危險(xiǎn)的過(guò)度簡(jiǎn)化，特別是考慮到后量子加密（PQC）和證書(shū)有效期將被縮短至47天的情況。

公共信心，私人風(fēng)險(xiǎn) 

一些組織甚至公開(kāi)宣布，開(kāi)源加密和密鑰自動(dòng)化是其數(shù)字信任的前進(jìn)策略。盡管這可能展現(xiàn)出了某種透明度和創(chuàng)新精神，但也可能預(yù)示著對(duì)未來(lái)復(fù)雜性的低估。如果沒(méi)有成熟的證書(shū)生命周期管理（CLM）策略，這些組織就有可能創(chuàng)建脆弱、不透明且最終不可持續(xù)的安全基礎(chǔ)架構(gòu)。

現(xiàn)實(shí)情況是，開(kāi)源工具雖然有用，但缺乏適應(yīng)數(shù)字信任領(lǐng)域中巨大變化所需要的集中式可見(jiàn)性、管理和加密敏捷性。

密鑰輪換≠加密敏捷性 

自動(dòng)密鑰輪換是一種更廣泛的策略中的有益組成部分，但它本身并不是一種策略。在許多環(huán)境中，輪換腳本的范圍很窄，適用于特定應(yīng)用程序，并且缺乏對(duì)證書(shū)狀態(tài)、使用或信任鏈的實(shí)時(shí)洞察。

這種方法可能適用于孤立或低風(fēng)險(xiǎn)的環(huán)境，但它沒(méi)有考慮到：

• 跨混合基礎(chǔ)架構(gòu)追蹤數(shù)千個(gè)證書(shū)的操作負(fù)擔(dān) 

  
  

• 跨團(tuán)隊(duì)和業(yè)務(wù)單元實(shí)施一致策略所需要的管理

  
  

• 滿(mǎn)足合規(guī)要求所需要的可審計(jì)性
  

  
  

• 快速、安全地從RSA遷移到PQC或混合證書(shū)所需要的敏捷性

加密敏捷性是指快速適應(yīng)加密系統(tǒng)以應(yīng)對(duì)新興威脅或標(biāo)準(zhǔn)的能力，加密敏捷性正在迅速成為一項(xiàng)基本要求。這不是可以在事后完善的事；它需要有意識(shí)的設(shè)計(jì)、可見(jiàn)性和編排，而這些僅憑開(kāi)源庫(kù)和腳本是無(wú)法提供的。隨著后量子加密（PQC）的日益采用，這種需求變得更加關(guān)鍵——這不是一次性切換，而是一個(gè)復(fù)雜的、多階段的過(guò)程，其中不同的生態(tài)系統(tǒng)和產(chǎn)品以不同的速度發(fā)展變化。要管理這種持續(xù)的復(fù)雜性并確保組織在整個(gè)過(guò)渡過(guò)程中保持安全，擁有精良的工具至關(guān)重要。

為什么證書(shū)管理是關(guān)鍵任務(wù) 

證書(shū)管理不善是導(dǎo)致代價(jià)高昂的停機(jī)的主要原因。一個(gè)過(guò)期的TLS證書(shū)可能會(huì)關(guān)閉網(wǎng)站、切斷API通信或中斷重要的機(jī)器對(duì)機(jī)器工作流程。這些問(wèn)題很少與弱加密有關(guān)，而是與缺乏監(jiān)督有關(guān)。 

在未來(lái)數(shù)年，這種風(fēng)險(xiǎn)只會(huì)日益增大。預(yù)計(jì)從2029年開(kāi)始，瀏覽器供應(yīng)商將強(qiáng)制實(shí)施47天的證書(shū)有效期，而目前證書(shū)的有效期是已經(jīng)很短的398天。

與此同時(shí)，政府和NIST等標(biāo)準(zhǔn)制定機(jī)構(gòu)正在推動(dòng)組織在類(lèi)似的時(shí)間框架內(nèi)遷移到量子安全算法。

這是兩股加密浪潮的交匯——前者強(qiáng)制推動(dòng)快速續(xù)訂，后者要求根深蒂固的算法變革。兩者都無(wú)法通過(guò)臨時(shí)輪換腳本或開(kāi)發(fā)人員維護(hù)的密鑰存儲(chǔ)進(jìn)行管理。

CLM平臺(tái)提供什么 

現(xiàn)代證書(shū)管理解決方案提供：

• 全面的可見(jiàn)性：可跨云端、本地和邊界清點(diǎn)并追蹤所有證書(shū)（公共證書(shū)、專(zhuān)用證書(shū)與混合證書(shū)） 

  
  

• 策略實(shí)施：過(guò)期警報(bào)、續(xù)訂工作流程與合規(guī)控制的自動(dòng)化

  
  

• 受信任的證書(shū)頒發(fā)：利用具有可追溯信任鏈的公共與專(zhuān)用CA 

  
  

• 吊銷(xiāo)控制：立即吊銷(xiāo)并替換已泄露的證書(shū)或被誤用的證書(shū)

  
  

• 管理自動(dòng)化：與DevOps工具無(wú)縫集成，同時(shí)不犧牲集中式監(jiān)督

  
  

• 為量子做好準(zhǔn)備：支持混合證書(shū)和PQC證書(shū)、加密敏捷性及遷移規(guī)劃

這些功能不是可選可不選的功能。在一個(gè)由短暫的證書(shū)有效期和算法轉(zhuǎn)變所定義的時(shí)代，這些功能是數(shù)字信任的基礎(chǔ)。

底線 

開(kāi)源加密在現(xiàn)代發(fā)展中起著至關(guān)重要的作用。但它不足以成為一種獨(dú)立的安全策略。公開(kāi)宣稱(chēng)這些工具是其管理加密和證書(shū)的唯一計(jì)劃的組織有落后的風(fēng)險(xiǎn)，或者更糟糕的是，這些組織將有在眾目睽睽之下失敗的風(fēng)險(xiǎn)。

只有對(duì)加密進(jìn)行管理，加密才足以安全。只有具有可見(jiàn)性，自動(dòng)化才有價(jià)值。而沒(méi)有策略的速度是一種負(fù)擔(dān)。隨著行業(yè)朝著量子中斷（quantum disruption）的方向發(fā)展，且短期證書(shū)將成為常態(tài)，因此問(wèn)題不在于您是否需要證書(shū)管理平臺(tái)，而在于在下一次停機(jī)、審計(jì)或算法變化之前，您能以多快的速度實(shí)施證書(shū)管理平臺(tái)。

在數(shù)字信任領(lǐng)域，沒(méi)有捷徑。在2029年，做好準(zhǔn)備組織和沒(méi)有做好準(zhǔn)備的組織之間將拉開(kāi)極為明顯的差距。