شماره: IRCNE2012021417
تاريخ: 10/12/90
گواهينامه هاي ديجيتالي SSL يكي از ابزارهاي اساسي امنيتي براي شركت هاي بزرگ است. با اين حال تحقيقات جديد نشان مي دهند كه تعداد اندكي از سازمان ها براي مديريت امنيت اين گواهينامه ها، فرآيندهاي موثري را به كار مي گيرند.
يك مطالعه از مركز تحقيقات آسترمن نشان مي دهد كه اكثر سازمان ها از تعداد دقيق مجموعه گواهينامه هاي SSL شركت اطلاعي ندارند. به همين دليل 44 درصد از 174 پاسخ متخصين امنيت IT درباره چگونگي بررسي گواهينامه هاي SSL موجود در شركت آن ها، ذكر كردند كه گواهينامه هاي آن ها به صورت يادداشت هاي دستي مديريت مي شوند.
علاوه بر اين، 46 درصد اعتراف كردند كه توانايي توليد گزارش از تعداد گواهينامه هايي كه ظرف 30 روز آينده در حال انقضاء هستند را ندارند. يك نگراني مهم و خاص در اين رابطه آن است كه 72 درصد از اين سازمان ها يك فرآيند خودكار براي جايگزين كردن گواهينامه هاي به خطر افتاده ندارند.
مساله ريسك گواهينامه هاي SSL يك موضوع تئوري نيست. چرا كه زير ساخت هاي توليدكنندگان گواهينامه هاي SSL از جمله Comodo و اخيرا DigiNotar مورد حمله قرار گرفتند.
حدود 70 درصد از پاسخ دهندگان نيز ذكر كردند كه سيستم گواهينامه هاي امنيتي آن ها به دايركتوري شركت متصل نيست.
طول كليد مسئله اي ديگري بود كه در بررسي Osterman به آن پرداخته شد.43 درصد اظهار داشتند كه سازمان آن ها يك سياست كلي درباره طول كليد رمزگذاري گواهينامه ندارند. اين مشكل براي مواردي شبيه پذيرش PCI است كه كليدهاي 2.048 بيتي را درخواست مي كند.
- 2