在防火墻上自動證書管理查找加密 HTTPS 會話中的威脅

為什么需要證書管理？

首先，讓我們了解證書在瀏覽器和Web服務器之間（例如在銀行站點上）之間的信任關系中扮演的角色。我們都知道HTTP不安全，HTTPS是安全的。實際上，HTTPS中的S代表安全。因此，我們的瀏覽器可以使用鎖定圖標顯示該網站的安全性，并且我們可能已經聽到PSA（公共服務公告）來注意未鎖定的網站。到目前為止，一切都很好？您是否知道瀏覽器使用來自Web服務器的經過數字簽名的證書，并對照已知信任的證書頒發機構（CA）自己的本地證書存儲對其進行檢查，以驗證證書的真實性？我知道你做到了 當瀏覽器確認Web服務器受信任時，

證書過期后會怎樣？

為了證明自己是真實的人，網站所有者必須首先從一個受信任的CA獲得網站的數字簽名證書。并且需要定期更新證書，這在過去已經引起了一些問題。證書過期后，它將停止工作并在安裝該證書的系統上觸發中斷。
那么，如果證書續簽引起了很多問題，為什么我們需要它？經常更換證書可以減少證書容易受到攻擊的可能性。實際上，證書的生存期正在減少，因此需要更頻繁地進行更新。證書頒發機構/瀏覽器論壇指南規定，網站至少需要每兩年更新或更換其SSL證書一次。某些證書的壽命較短。例如，Let’s Encrypt，一個免費的，開放的證書頒發機構（CA）頒發具有90天有效期的證書。他們之所以認為較短的生存期限制了密鑰泄露所造成的損害，例如，由于密鑰泄露或被盜將在較短的時間內有效。并且由于“域加密”過程的“加密”過程是自動進行的，

自動化域驗證證書更加容易，因為驗證過程僅要求網站所有者通過對網站進行更改來證明自己擁有網站。目前，存在三種類型的SSL證書-每種對站點驗證的要求都在不斷提高。域驗證（DV SSL），組織驗證（OV SSL）和擴展驗證（EV SSL）。后兩個需要手動審核過程以證明站點所有權。

如何避免讓您的SSL證書過期？

因此，很明顯，自動化可以幫助簡化具有一個域的小型組織的證書獲取，就像域驗證證書一樣。由Internet安全研究小組（ISRG）為他們的Let’s Encrypt服務設計的自動證書管理環境（ACME）協議可以為不太復雜的環境自動部署。

自動化也是管理具有大型網絡和許多連接設備的企業的最佳方法。但是，大型企業的范圍可能比“讓我們加密”的范圍大得多。這是自動進行證書管理，確保Web服務器和防火墻具有有效證書的證書管理工具的位置。Venafi和Check Point無縫協作，以確保瀏覽器到網站服務器信任鏈中使用的證書是最新的。

防火墻為什么解密HTTPS連接？

如果HTTPS是安全的，那么為什么防火墻需要解密從瀏覽器到Web服務器的連接？這是個好問題。我們知道并了解需要在外圍安裝防火墻以進行基本過濾什么是防火墻？可訪問Internet的Web服務器僅需要允許Web流量的指定子集，通常在端口80（HTTP）和端口443（HTTPS）上，并且可以阻止所有可用的TCP（傳輸控制協議）端口（1-65535）可用，并且1-1023范圍內的端口是特權端口）。對于新手來說，可以將Web服務器上的端口視為相當大的公寓大樓中的單個公寓。瀏覽器請求中的端口號可確保將其傳遞給正確的用戶，或者在這種情況下，將其傳遞給Web服務器上運行的服務或端口。

當然，這仍然不能回答為什么防火墻需要通過解密數據包以查看加密信封中的內容來打開數據包的問題。簡短的答案是防火墻需要進行深度數據包檢查以查看客戶端是否正在嘗試利用Web服務器中的已知漏洞的原因之一。（您可能還需要檢查是否有跡象表明惡意證書允許滲透。）簡單的基于端口的保護是不夠的。

當今的下一代防火墻包括IPS（入侵防御系統），它是一項安全功能，可以檢測并阻止嘗試利用軟件和硬件中的已知漏洞。例如，在Equifax漏洞中，遠程攻擊者能夠遠程利用已知的Web服務器上的Apache Struts漏洞，并且已經有相應的補丁程序。在Web服務器上修補應用程序可能可以防止此情況，但是修補需要時間。一旦有補丁，通常就可以檢測到攻擊的IPS簽名。借助可自動更新其IPS簽名的嵌入式防火墻，IPS也可以在應用補丁之前防止這些攻擊。

防火墻如何解密HTTPS連接？

要解密HTTPS流量，防火墻需要瀏覽器已知的信任鏈中的證書。防火墻本質上充當Web服務器的代理，解密瀏覽器連接，并在需要時從防火墻到Web服務器再次對其進行加密。Venafi提供發現和自動化SSL / TLS密鑰和證書的整個生命周期所需的可見性，因此Check Point下一代防火墻始終具有當前的計算機標識，以檢查Web流量是否存在威脅。

Venafi和Check Point機器身份管理解決方案如何工作？

用于Check Point的Venafi Adaptable Bulk Provisioning驅動程序可自動執行Check Point入站HTTPS檢查策略中使用的SSL / TLS機器身份。證書或機器身份在Check Point中定義為Venafi同步的對象，并自動與Venafi Trust Protection平臺中的智能保持同步。

• Venafi中的批量供應作業允許按計劃或按需自動將符合指定策略的新計算機標識提供給Check Point網關。
• 即將到期的證書將在證書頒發機構（CA）處自動更新，由Venafi供應給Check Point NGFW，并在Check Point NGFW HTTPS檢查策略中應用。
• 檢查策略始終與這些計算機標識的最新版本保持最新，以確保SSL / TLS可見性不存在漏洞，并且永遠不會錯過加密的威脅。

Check Point和Venafi自動化機器身份管理解決方案有什么好處？

Check Point和Venafi一起使由Check Point NGFW保護的組織所使用的關鍵機器身份的交付和配置完全自動化。

• 使用來自應用程序的密鑰和證書（機器身份）檢查TLS流量
• 保護允許的加密通道
• 禁止政策禁止的惡意加密頻道或互聯網使用
• 自動發現和設置現有機器標識
• 通過自動分配機器標識來提高檢查性能
• 生成和更新新機器身份時自動分配它們