LinkedIn安全证书更新中的失效
在三年内,Microsoft拥有的专业网络站点LinkedIn未能更新传输层安全(TLS)证书,使用户面临网络钓鱼攻击的风险。
当某些浏览器显示警告时,LinkedIn用户被警告到失败,因为TLS证书已过期URL Shortener LNKD [。],Carl Leonard,Carl Leonard,Percorpoint分析师。
似乎LinkedIn根据Qualys,LinkedIn在10月10日续订了证书,但未相应地更新服务器,从而导致浏览器错误。
在一份声明中,LinkedIn表示,其证书更新中有一个“简短的延迟”,并且该问题已经很快解决,没有用户数据受到影响。
当O2的4G网络的日期造成的日期造成的董事会是Ericsson的过期证书造成的,当时长期的停电时,已介绍过期证书的潜在业务影响。
Gartner估计,除了负面客户体验之外,普通公司损失了5,600分钟,因为消极的客户体验,这被认为是50%的投票的公司最重要的问题。
根据担保公司Venafi的最近调查,中断已成为英国,美国,法国,德国和澳大利亚在英国,美国,法国,德国和澳大利亚的超过550条CIO的一季度(27%)的执行问题,承认他们担心不得不解释为什么停电已发生在本公司董事会上。
绝大多数(85%)表示,IT系统的增长复杂性使得未来的可能性更为可能,60%承认与过去一年中受关键业务应用程序或服务影响的证书相关的中断,74%表示他们面临类似的过去两年内的事件。
超过一半(55%)认为,在未来五年内,他们的组织使用的证书数量将增加至少50%,从而为意外的中断创造更多机会
“证书控制机器之间的沟通和认证,因此不让他们意外到期是至关重要的,”维修战略副主席凯文·博克斯克说,“Venafi的威胁情报。
“不幸的是,大多数组织甚至没有清楚地了解使用多少证书或者哪些设备正在使用它们,而且,它们并不清楚地了解它们的到期时。
“这种缺乏全面的知识和智力,总是导致与证书相关的中断,因此这不是一个独特的事件。最终,公司必须控制所有证书;否则,直到一个意外到期并导致衰弱的中断,这只是时间问题。“
这些中断通过自动化证书生命周期管理,Tim Callan,Web安全专家和高级研究员在证书颁发机构Sectigo。
“自动化系统可以监控证书状态,提供部署证书的可见性,并在时间到来时自动更新它们,”他说。
除了自动生命周期管理外,Callan还表示证书发现对于避免意外止于至关重要。
“在今天的复杂和威胁中,企业面临着开发人员集团站立关键服务的真正风险,而无需与中央的核心部署协调他们的证书部署,”他说。
“这些嵌入式群体往往缺乏纪律的PKI [公钥基础设施]核心的实践,即在多年来可能已经发展起来。因此,关键系统可能取决于未知的证书,这可能是可能在任何给定日期到期的滴答时间炸弹。
“证书发现可以扫描企业的完整网络空间,查找未知证书并将其带到中央管理下。除了避免令人惊讶的呼出之外,中央还能确保所有证书符合外部合规要求以及内部证书标准,“他说。