根據Ponemon研究所的最新報告顯示，移動證書使用很難驗證SSL和TLS。為什么這么難檢測到異常移動證書使用呢?是否有最佳做法可確保在移動設備上正確使用證書?

Ponemon研究所發布的《2015年信任問題成本報告》中有一些令人震驚的結果，雖然我們越來越多地依靠數字證書來提供信任和安全，但我們管理證書的能力越來越差。例如，該報告發現，在過去兩年中，在Web服務器、網絡設備和云服務中部署的密鑰和證書數量已經增長了34%，達到每個企業24000，這個數字甚至還不包括防火墻外移動設備、移動應用或物聯網設備使用的證書。然而，54%的受訪企業承認他們不知道所有密鑰和證書的位置，這意味著他們不知道它們如何被使用或者是否應該信任它們。

這個問題特別嚴重的領域是，Wi-Fi、VPN、移動設備管理(MDM)和企業移動管理(EMM)產品等應用中的企業移動證書的使用。最近Forrester研究發現，77%的IT安全專業人士沒有充分了解Wi-Fi、VPN和MDM/EMM使用的移動證書情況。

這里的危害是，濫用或孤立的移動證書可允許終止合同的雇員和承包商或者冒充用戶的攻擊者訪問Wi-Fi、VPN或受MDM/EMM系統保護的數據。Mandiant公司最新APT1報告顯示，在每次攻擊中，攻擊者都會獲取有效憑證，例如密鑰和證書。隨著企業中移動設備持續增加，密鑰和證書濫用的風險也在增加，這需要引起企業的關注。

對于任何IT資產，企業應該詳細記錄密鑰和證書以及它們的“主人”。這對追蹤有效密鑰很重要，并可幫助發現重復的、孤立和不需要的證書。

ISO 27001的A.12.3.2條款指出，“企業應該部署密鑰管理來支持企業對加密技術的使用”。加密政策應該包括密鑰長度、有效期和批準的證書機構，并對移動證書頒發過程中執行這些政策。通過映射用戶到證書，管理員可為已知證書和正常使用建立基準以幫助檢測異常使用情況。為了確保記錄保持最新，在員工更換工作或離開公司時，HR應該及時通知IT，這樣與該員工相關的移動和用戶證書可以被撤銷以防止對網絡資源的未經授權訪問。

大多數MDM/EMM技術不提供全面管理移動證書和密鑰的生命周期，因此，企業可能需要密鑰和證書聲譽服務(例如Venafi公司的TrustNet)來幫助自動化密鑰的管理和撤銷，以及發現惡意或異常的密鑰及證書使用。例如，微軟推出了自己的解決方案來提高證書的可信度：Certificate Reputation，其中涉及IE 11以及SmartScreen發送數據給微軟了解用戶在瀏覽網頁時遇到的證書。

企業應該檢查可訪問敏感數據的企業應用以確保它們正確部署了加密和證書使用。去年，IOActive發現，在40款iOS銀行應用中，40%沒有驗證SSL證書，并且不能阻止理論的中間人攻擊。

管理員還應該注意，在不同制造商、設備甚至國家，補丁和證書更新各有不同，本地運營商在分發更新中發揮著重要作用。這意味著，仍然在等待關鍵證書更新的設備在訪問企業網絡時應該被隔離。