行业新闻与博客

在两年内第二次证书到期咬了 LinkedIn。

 LinkedIn 再一次强调了良好证书管理的重要性。两年来第二次 SSL / TLS 证书过期并导致社交媒体网站停机。这次是 LinkedIn 的链接缩短，lnkd.in，这是罪魁祸首。5月21日星期二，桌面用户开始看到那些可怕的 SSL 连接错误消息。 

显然，LinkedIn 争先恐后地解决了这个问题，并迅速安装了新的 SSL / TLS 证书，但它也为我们提供了另一个可教的时刻。

 所以，今天我们要讨论究竟发生了什么，为什么再次发生以及为防止它发生了什么。

证书到期再次出现！

这是 SSL 证书过期时发生的情况。我们会写关于您的文章，并将您作为一个警示故事来重申正确的证书管理解决方案的价值。 

鉴于这是两年来第二次发生，你不得不怀疑 LinkedIn 是否第一次吸取了教训。证书到期很容易成为 LinkedIn 最近发生的第二件坏事。最糟糕的是它增加了视频。现在每个人都是一个激励人心的演讲者......无论如何，证书到期可能会导致比停机时间更多的麻烦。它最终会花钱。

 这实际上花费了多少 LinkedIn 很难量化。中断仅影响尝试使用公司链接缩短程序的桌面用户。LinkedIn 现在归微软所有，微软不太可能提供有关无法连接的用户数量或停电持续时间的详细信息，但 2018年LinkedIn 的收入高达 53 亿美元，所以如果不是这样，那就不足为奇了。仅停机时间的实际成本就是数百万。

对于规模较小的公司来说，停机时间是一个更大的问题，LinkedIn 可以轻松应对停电成本。对于像 LinkedIn 这样规模的公司来说，更大的问题是它所带来的品牌损害。诚然，有些用户永远不会知道，或者会看到也不知道该怎么做 - 更精通技术的用户可能会开始形成关于 LinkedIn 如何认真对待安全性的批评意见。

 同样，如果您使用正确的工具，这是一个非常可预防的问题。但现在这只是两年内的两次。它也不是 LinkedIn 遇到的唯一与安全相关的问题。这一切都开始在一段时间后加起来，并给出了人们与 LinkedIn 分享的一些信息相当敏感的性质 - 失去信任可能是灾难性的。 

究竟发生了什么？

 要了解发生了什么，您需要首先快速解释链接缩短以及公司实际执行此操作的真正原因。很容易将其视为一种巧妙的方式，可以将链接转移到角色上限的社交媒体帖子中，比如在 Twitter 不计算网址之前回来 - 但其完成的真正原因是分析。公司需要能够跟踪谁对其内容进行点击，无论是人员还是机器人，他们来自哪里等等。

 因此，当您使用链接缩短器时，有点像在连接中间放置代理。该链路与链路缩短域连接，链路缩短域检查流量并将其重定向到其预期目的地。为了实现这一点，实际上需要发生两种不同的连接，因此需要有两种不同的 SSL 证书。链接缩短域需要一个，然后实际网站本身也需要一个。

 在这种情况下，保护链接缩短域 lnkd.in 的 SSL / TLS 证书已过期，任何试图点击缩短链接的人都无法连接。

这似乎是可以预防的......

通常，当到期时，这就是它发生的方式。这并不罕见，但公司让其旗舰网站上的证书到期也不常见。它通常是应用程序服务器上的证书，甚至是过期的机器标识，并导致服务中断。这些可能更难以找到和替换。 Shadow IT 是通过非标准渠道获得的任何 IT 产品或服务。SSL 证书和数字证书通常是最常见的

Shadow IT 项目之一。造成这种情况的原因并不是恶意的 - 通常不会有人故意绕过这些系统 - 它只是因为现在所有东西都需要有证书，而且往往是在标准渠道之外征用它们。

 这会产生相当大的风险，因为证书管理是一个主要的合规性和安全性问题 - 当事情横向发展时，它会花费公司的资金和人员的工作。LinkedIn 再一次表明，只要一个证书过期就可以关闭许多客户的操作，如果它发生在足够敏感的地方。

 LinkedIn 很幸运，证书很明显可以快速找到，通常你的 IT 或安全团队必须争先恐后地找到证书的部署位置，发布证书的人，密钥存储的位置等等。这就是假设你立刻就注意到了。这方面的例子并不缺乏，也许最着名的是 Equifax 的违规行为在 76 天内未被发现，因为过期的证书没有得到解决。 

解决方案是采用有组织的方法进行证书管理。您需要能够扫描所有网络以获取证书，您需要一个界面来管理它们并保持可见性。然后，您需要建立管理生命周期每个阶段的策略和程序：发布，轮换，续订，撤销等。 

如果可能的话 - 自动化一切。尽可能多地去除人体元素。 

数字证书往往是事后的想法，直到为时已晚，当发生这种情况时，它会因为所有错误的原因而对您的公司产生影响。