过去几年中，严重的网络安全漏洞已经扰乱了政府机构、全球企业的运营以及我们生活方式所依赖的基础设施。 

    但并非所有风险都是恶意的。内部故障也会导致停机和失误。数字基础设施非常复杂，像未记录的证书这样简单的事情都可能导致运营戛然而止。 

    无论如何，数字信任都会受损。这些事件不仅需要花费大量资源来补救，而且还会造成声誉损害，即使问题解决后，这种损害仍会持续很长时间。 

    世界经济论坛 (WEF) 将数字信任定义为“个人对数字技术和服务以及提供这些技术和服务的组织将保护所有利益相关者的利益并维护社会期望和价值观的期望”。 

    构建值得数字信任的数字生态系统依赖于确保设备、应用程序和数据的准确性和不受威胁。与零信任和人工智能一样，数字信任也是由技术支持的概念。 

公钥基础设施

    公钥基础设施 (PKI) 是管理数字证书颁发的加密生态系统。这些证书可保护敏感数据、确保通信安全，并为用户、设备和应用程序提供数字身份。 

    PKI 创建了信任层次结构。证书由中间证书颁发机构 (ICA) 颁发，这些 ICA 向上递增至根证书颁发机构。在大型组织中，ICA 专用于特定的数字功能。例如，DevOps 可能有自己的 CA。 

    数字证书几乎存在于每个业务流程中。它们保护网站和电子邮件客户端、各种物联网设备和应用程序等。

    一些因素使得 PKI 难以大规模管理。 

    专业知识大多数组织缺乏专门的 PKI 团队。通常，PKI 和证书由 IT、安全或基础设施团队管理。这些技术人员很少具备 PKI 专业知识，而手动流程加剧了用户出错的可能性。 

    缺乏所有权尽管上述团队可能正在管理 PKI 和证书，但对 PKI 缺乏更大的愿景或集中治理。这导致团队使用证书来采购自己的解决方案并创建自己的不太安全的流程。

    误差幅度低只需一个过期证书即可导致整个系统离线。这使得证书的发现、跟踪和管理成为一项高风险的实践。 

安全外壳协议 (SSH)

    安全外壳协议 (SSH) 是一种加密网络协议，允许设备在不安全的网络上安全运行。换句话说，它保护与网络的远程连接。它们还允许机器对机器会话，从而实现自动化。

    SSH 通过公钥加密实现这一点 - 自动创建公钥-私钥对来加密网络连接。保护和妥善管理这些密钥对于建立数字信任至关重要。 

    发现 IT 环境中的所有 SSH 密钥对于保护它们至关重要。必须考虑遗留密钥和孤立密钥，并且必须映射每个 SSH 密钥对的信任关系。完成此操作后，组织可以审核其 SSH 实施以查找弱点并加强流程。必须更新使用弱加密算法或提供不必要的根访问权限的密钥。 

代码签名

    代码签名是一种加密过程，可为软件提供真实性标记。开发人员使用私钥对应用程序、软件或嵌入式固件进行数字签名，以证明代码来自合法来源且未被篡改。 

    如果没有代码签名，或者没有安全的代码签名，用户可能会无意中从恶意来源下载软件。代码签名攻击允许攻击者破坏软件供应链，因此恶意软件会被推送给成千上万的用户。 

    如今，开发人员不断发布新软件和更新。平衡开发速度与安全实践可能很困难，而将代码签名流程嵌入现有软件开发生命周期则是一个挑战。 

    代码签名需要自己的一套证书和密钥，这些证书和密钥对于可以在地下市场上出售它们的不法分子来说是宝贵的目标。 

    为了确保代码签名过程的安全，组织必须将代码签名密钥存储在硬件安全模块上，而不是存储在开发人员工作站或构建服务器等不安全的位置。将这些密钥的访问权限限制为有限数量的授权用户也是明智之举。在这些用户之间划分职责可以大大降低代码签名密钥被泄露时造成损害的可能性。

传输层安全性

    与 SSH 类似，传输层安全性 (TLS) 是一种加密协议，可在数据通过互联网从一个用户传输到另一个用户时保护数据。在互联网浏览器的地址栏中，小挂锁图标表示发送到该网站和从该网站发送的数据受 TLS 保护。 

    TLS 可保护密码、信用卡号、浏览习惯等敏感信息，防止被恶意攻击者拦截。虽然 TLS 几乎是网站必备的，但在保护电子邮件等互联网相关流程方面，它并不常见（尽管建议这么做）。 

    TLS 证书面向互联网并与许多第三方应用程序（例如 Web 浏览器）交互。因此，它们必须满足其必须与之交互的实体的标准。例如，Google Chrome 会标记配置的有效期超过 90 天或使用过时哈希算法（如 SHA-1）的证书。 

    那些使用实践来更新 PKI 的人将在面对数字化未来时更具弹性和更值得信赖。

证书生命周期自动化 (CLA)

    回想一下，证书和 PKI 通常由 IT、安全或基础设施团队管理。这些团队不仅缺乏深厚的 PKI 知识，而且还必须在履行主要职责的同时兼顾 PKI。 

    鉴于证书数量的激增和持续的网络安全劳动力短缺，手动证书管理流程无法扩展，并加剧了导致团队倦怠的情况。 

    证书生命周期自动化为这些团队带来了大量带宽，并几乎消除了发生中断的可能性。合适的证书生命周期管理 (CLM) 平台可以一举解决许多问题。

    主动发现和记录可以收集 IT 环境中所有证书的完整清单 — — 甚至是隐藏的、等待过期的未跟踪、未记录的证书。

数字信任的 DNA

    在可预见的未来，数字证书、密钥和加密技术将继续充当数字信任的技术 DNA。

    无论如何，这些技术上的重大变革即将到来。投资于灵活、有弹性的 PKI 政策的组织将在不久的将来取得成功。