在荷蘭頒發(fā)數(shù)字證書的欺詐性數(shù)字證書頒發(fā)機構(gòu)被摧毀后，許多安全研究人員聲稱證書頒發(fā)機構(gòu)系統(tǒng)被不可挽回地摧毀了，有必要建立一個新的在線信任系統(tǒng)。賽門鐵克公司Symantec認為，這一事件只能說明CA需要改進其安全流程。

賽門鐵克信任服務高級總監(jiān)林世煜告訴eWEEK，SSL(安全套接字層)技術仍然是安全的，因為攻擊者沒有破壞加密算法。林說，需要改變的是認證機構(gòu)如何頒發(fā)和驗證SSL證書的政策和程序。

根據(jù)電子前沿基金會，超過650家公司被授權(quán)頒發(fā)SSL證書。當用戶導航到某個網(wǎng)站時，瀏覽器會依靠該網(wǎng)站的SSL證書來確認用戶是在合法網(wǎng)站上，而不是偽造的副本。利用偽造的證書，惡意攻擊者可以發(fā)起中間人攻擊，使他們能夠竊聽互聯(lián)網(wǎng)用戶并攔截敏感信息。

林說：“SSL作為一種技術是完全可行的，但CA需要執(zhí)行最低標準”，以保持系統(tǒng)的安全和正常運行。

組織需要投資于基礎架構(gòu)，包括部署最新的惡意軟件保護系統(tǒng)、定期進行第三方審核、運行漏洞評估以確保沒有可利用的漏洞、實施多層安全保護和持續(xù)監(jiān)控。林說，這樣的環(huán)境可以盡快發(fā)現(xiàn)和制止違規(guī)行為。

林說，有這么多的認證機構(gòu)沒有錯，但作為認證機構(gòu)的標準目前太低了。賽門鐵克目前正在研究白皮書，該白皮書概述了一些最低要求，其中一些是由賽門鐵克信任服務副總裁Fran Rosch在賽門鐵克連接博客上概述的。

Rosch寫道，其中一些要求包括使用專門設計的增強工具來抵御攻擊，使用基于硬件的密碼簽名系統(tǒng)，將SSL證書系統(tǒng)與公司系統(tǒng)分離，以及實施強密碼和訪問控制策略。

林說，“任何安全的基礎設施都不能幸免于破壞”，但組織應該“投資于基礎設施”。

Yedigital Security的Marc Maiffret告訴eWEEK，常見的誤解是，組織“更安全”只是因為他們在安全領域。Maiffret說：“事實上，他們和其他人一樣面臨著同樣的安全挑戰(zhàn)?！彼ㄗh其他組織也可以從DigiNotar事件中吸取教訓。

根據(jù)Maiffret的說法，大多數(shù)組織傾向于考慮下一步購買哪種技術來應對特定的威脅，而不是關注根本原因，例如配置錯誤或未解決的漏洞。他說，他們在尋找最好的反病毒軟件或最好的入侵檢測系統(tǒng)，但他們不是在尋找一個網(wǎng)絡應用程序來確保它不會受到SQL注入的攻擊，或者所有已知的漏洞都已被最新的軟件修復。

擁有大量技術意味著擁有更多關于正在發(fā)生的事情的數(shù)據(jù)，但是對于一些組織來說，更多的數(shù)據(jù)將導致更多的噪音被忽略，而不是更多的安全性。

Maiffret表示，多年來，安全已經(jīng)“置之不理”，但威脅的數(shù)量和攻擊的復雜性不斷增加，意味著組織必須重視基礎知識，定制自己的架構(gòu)。

Maiffret說，一些公司可能擁有所有正確的技術，但他們可能沒有意識到錯誤的設置并導致不當使用?；蛘咚麄冊跇藴逝渲弥惺褂盟?，這意味著攻擊者確切地知道設置是什么樣的，并據(jù)此進行攻擊。根據(jù)Maiffret的說法，如果組織構(gòu)建網(wǎng)絡并以不同于供應商建議的默認設置的方式部署安全性，它們將會造成煩擾，并且更容易受到損害。

Maiffret表示，確保組織安全不是一個技術挑戰(zhàn)，而是一個業(yè)務流程。

賽門鐵克的林先生也表示，認證機構(gòu)需要監(jiān)控基礎設施，以便立即發(fā)現(xiàn)異常情況。林說，更重要的是，即使組織認為問題已經(jīng)解決，也需要立即披露事件，這樣其他人才能對問題保持警惕和警覺。

林說，CA不僅可以專注于其基礎設施，還可以使其合作伙伴達到相同的標準。林表示，今年早些時候?qū)omodo的攻擊實際上是針對經(jīng)銷商的，因此必須遵循同樣嚴格的標準，例如第三方審核、強身份驗證和訪問策略。林表示，賽門鐵克要求所有合作伙伴都達到同樣的標準，否則有被遣散的風險。