DigiCert2021 年 PKI 自动化状况调查发布 对数字证书实施自动化管理可降本增效

缺乏自动化和发现的企业，面临恶意证书、无管理证书和因证书意外到期导致的中断带来的挑战；领先企业则重视实施自动化

2021年9月29日，中国北京--全球领先的SSL/TLS、物联网和其他PKI解决方案提供商DigiCert, Inc.发布了2021年PKI自动化状况调查。该调查显示，一家典型的企业目前管理着超过50,000个公共和私密可信PKI证书。如果处理不当，手动管理如此大量的证书可能会导致代价高昂的中断。三分之二的企业曾遇到因证书意外过期导致的中断，而25%的企业仅在过去六个月里就曾遇到五至六次这样的中断。由于这些问题和其他缘故，企业对于采用PKI自动化产生了浓厚的兴趣。

领先企业已实施自动化的几率比其他企业高六倍。前者符合PKI SLA要求，而且在自行报告不足方面做得更好。

将近三分之二的企业对于管理证书需要耗费的时间表示担忧。另外，缺乏可见性也是一个问题。37%的企业将证书交给三个以上部门管理，从而造成混乱。在一家典型的企业中，实际上无人管理的证书多达1,200个，而将近半数(47%)的企业经常发现所谓的"恶意"证书（即在IT团队不知情或未管理的情况下实施的证书）。

DigiCert产品高级副总裁Brian Trzupek表示："证书数量已经大幅增长。此外，自2018年以来，公共TLS证书的有效期已经从三年缩短到一年。因此，企业发现，手动管理数字证书流程变得愈加困难。他们正在寻求证书自动化，但需要在具体做法上得到保证，也需要了解这样做的长期成本和安全益处。"

Smart Communications的SaaS运营经理Michele Liberman表示："因为PKI证书过期而导致的服务中断，对所有企业而言都是持续存在的风险，如今，由于续订周期变短，这种风险加倍了。管理证书的开销很高，因为每个证书的过期、申请、创建和部署都需要监控。通过自动化来降低风险和减少内部的繁重工作，具有极大的商业意义。"

大多数企业正在考虑实施PKI自动化，91%的企业至少正在讨论这一举措。只有9%的企业表示目前并未讨论，也没有打算实施PKI自动化。大多数企业(70%)预计会在未来12个月内实施解决方案。四分之一(25%)的企业实际上已经进入了实施解决方案的阶段，或者已经实施完毕。

各家企业不尽相同

该调查提出了一系列问题，用以判断受访企业在多项PKI指标上的表现优劣。合计评分之后，将受访企业分为三组：

领先者：表现最佳的企业

落后者：表现最差的企业

居中者：表现尚可的企业

然后，该调查将领先者和落后者进行比较，以分析两组之间的差异并探讨领先者表现更佳的具体方面。

领先者在各个方面的表现比落后者要好两到三倍，包括降低PKI安全风险、避免PKI停机、满足PKI相关的SLA等。落后者在许多PKI相关方面被扣分，包括生产率降低、合规问题、客户流失，甚至还有收入减少。

PKI领先者的经验启示

PKI领先者更倾向于认为PKI自动化对公司未来很重要。此外，PKI领先者对于管理PKI证书所耗费时间的关心程度是落后者的两倍。请阅读报告，详细了解领先者采取的做法以及这些做法对其业务的积极影响。

建议

DigiCert建议企业着手应对证书管理流程（包括业务流程）的自动化，以确保能持续遵循PKI部署的最佳做法。这包括：

证书：

识别并创建所有证书的清单，从TLS、代码签名到客户端证书等都应包含在内。

修复不符合公司策略的密钥和证书。

采取颁发和吊销证书的最佳做法，以提供保护。对注册、颁发和续订流程进行标准化及自动化。

证书流程：使用集中管理可见性、控制度和自动化流程的软件，解决手动或无人管理的证书流程，例如代码签名、文档签名、电子邮件证书或其他身份和权限解决方案。

该调查由ReRez Research开展，调研对象为北美、欧洲、中东和非洲、亚太地区和拉丁美洲400家员工人数不少于1,000人的企业的IT专业人员。