В LinkedIn снова закончился срок действия сертификата SSL/TLS.

02.07.2019

LinkedIn еще раз подчеркнул важность хорошего управления сертификатами. Второй раз за два года истек срок действия сертификата SSL/TLS, что привело к простою сайта социальной сети. На этот раз причиной простоя стало сокращение ссылок LinkedIn на lnkd.in. Внезапно пользователи настольных компьютеров начали видеть страшные сообщения об ошибках SSL-соединения. Очевидно, что LinkedIn приложил все усилия, чтобы решить эту проблему, и быстро установил новый сертификат SSL/TLS, и также предоставил нам еще один обучающий момент в этом процессе.

 

Итак, сегодня мы поговорим о том, что именно произошло, почему это произошло снова и что можно было сделать, чтобы предотвратить это.

 

Сертификат истекает снова!

 

Что происходит, когда истекает срок действия вашего SSL-сертификата? Истечение срока действия сертификата может вызвать гораздо больше проблем, чем просто простой, это может в конечном итоге стоить денег. Сколько это на самом деле стоило LinkedIn, трудно определить количественно. 

 

Отключение только затронуло пользователей настольных компьютеров, пытающихся использовать сокращенную ссылку компании. LinkedIn в настоящее время принадлежит Microsoft, и вряд ли Microsoft предоставит конкретную информацию о том, сколько пользователей не смогли подключиться или как долго длилось отключение, но в 2018 году доходы LinkedIn составили колоссальные 5,3 миллиарда долларов, поэтому неудивительно, если фактическая стоимость от простоев составляла миллионы.

 

Простои - гораздо более серьезная проблема для небольших компаний, LinkedIn легко выдержит расходы на отключение. Большая проблема для компании - размера LinkedIn - это ущерб, нанесенный бренду. Хотя, по общему признанию, некоторые пользователи никогда не будут знать, или будут видеть и не знать, что с этим делать, - более опытные пользователи могут начать задумываться о том, насколько серьезно LinkedIn относится к безопасности. 

Это проблема, которую можно предотвратить, если вы используете правильные инструменты. Ну опять же она возникла дважды, всего за пару лет. 

 

Что именно случилось?

 

Чтобы понять, что произошло, вам нужно разобраться в том, для чего на самом деле компании сокращают ссылки. Можно подумать что это просто умный способ вставлять ссылки в посты в социальных сетях, - но настоящая причина - аналитика. Компании должны иметь возможность отслеживать, кто нажимает на их контент, будь то люди или боты, откуда они и т. д.

 

Таким образом, когда вы используете сокращенные ссылки, это похоже на размещение прокси-сервера в середине соединения. Ссылка соединяется с доменом сокращения ссылок, который проверяет трафик и перенаправляет его по назначению. Чтобы это работало, на самом деле должно быть два разных соединения, поэтому должны быть два разных SSL-сертификата. Домен с сокращением ссылок нуждается в сертификате, так же как и сам фактический сайт.

В этом случае срок действия сертификата SSL/TLS, защищающего домен сокращения ссылок - lnkd.in, истек, и любой, кто пытался щелкнуть по сокращенным ссылкам, не смог подключиться.

 

Это кажется можно предотвратить …

 

Часто окончания срока действия сертификата происходит так как это произошло в данном случае. 

Это не является чем-то необычным, но редко когда, топовые компании позволяют вот так вот закончиться сертификатам на их сайте.

 

Shadow IT - это любой вид ИТ-продукта или услуги, который приобретенный по нестандартным каналам. SSL-сертификаты и цифровые сертификаты в целом являются одним из наиболее распространенных элементов Shadow IT. Связано это с тем, что в настоящее время все должно иметь сертификат.

 

Тем не менее, это создает значительный риск, поскольку управление сертификатами является серьезной проблемой соблюдения требований и безопасности, а когда дела идут не так, как надо, это стоит компаниям денег и рабочих мест. LinkedIn еще раз продемонстрировал, что только один срок действия сертификата может остановить операции для очень многих клиентов.

 

LinkedIn повезло, что сертификат был достаточно видимым, чтобы быстро его найти, обычно это долгая процедура поскольку ваша ИТ-служба или служба безопасности должна проверить, где был развернут сертификат, кто его выдал, где хранятся ключи и т. д. И это при условии, что вы сразу заметите что что-то не так.

 

Решение состоит в том, чтобы иметь организованный подход к управлению сертификатами. Вы должны иметь возможность сканировать все свои сети на наличие сертификатов, вам нужен интерфейс для управления ими и поддержания видимости. И затем вам необходимо установить политику и процедуры для управления каждым этапом жизненного цикла сертификата: выдача, ротация, обновление, отзыв и т. д. Автоматизируйте все - если это возможно!



« Назад