证书过期失效:一银行。。。崩了。。。
科技
2024-10-03 22:34
北京
网络配置、证书颁发机构(CA)和 SWIFT 问题以及证书过期被认为是去年一系列 RTGS 中断的原因。据 IT 外媒 The Stack 透露,由于“银行基础设施内的证书”过期失效,英格兰银行一个关键的支付系统在 7 月份崩溃。清算所自动支付系统(CHAPS)系统在 8 月份结算了 6.9 万亿英镑的支付交易。但在 7 月份,CHAPS 和英格兰银行的零售结算系统出现中断,导致这些交易停止,IT人员拼命实施解决办法。CHAPS 在 91 分钟后再次正常运行。原因是:过期的证书(证书问题也曾在本月导致市值 1810 亿美元的 ServiceNow 一度出现了问题)。这是英格兰银行关于结算系统现代化的年度报告得出的结论。报告并没有具体表明证书类型,但这通常指 SSL/TLS 证书,证书负责验证系统的身份,允许系统与另一个系统建立起加密的网络连接。使用手动流程跟踪无数证书的过期和续签日期(许多企业这么做)已变得极具挑战性——意外的证书过期可能会触发应用软件停运、服务中断、服务器假冒,甚至敏感数据泄露。这是英格兰银行老化的结算系统在 2024 年遭遇的第四次中断,令人惊讶的是,这是因证书问题而导致的第二次中断了。
1 月 26 日,实时全额结算(RTGS)系统中断了 39 分钟,导致 CHAPS 和 CREST 结算停止,当时英格兰银行也含糊其辞地归咎于“证书颁发机构的问题”(这天与 AWS 的某些证书更改要求相一致,但没有证据表明两者之间存在关联)。英格兰银行在 9 月 27 日发布的报告中表示:“在去年,RTGS服务遭遇了多次中断。无一例外,这些中断都在我们对重要商业服务的影响力容忍范围之内,即所有提交给我们的支付及其他结算指令都在当天结束前完成了结算。”相关细节是在 RTGS 现代化最新进展通报中披露的。根据所谓的“TS3”计划,英格兰银行继续逐步将现有的引擎换成“模拟化设计的新型核心分类账和结算引擎”,TS3 计划将使新的金融服务组织极容易纳入到英格兰银行的系统中。目前的 RTGS 引擎被认为基于大型机,将新组织纳入到 RTGS 中是一个笨拙的过程:“作为 RTGS 更新计划的一部分引入的每个重大里程碑事件都需要技术准备,包括对当前的RTGS基础设施进行变更冻结,以便安全地交付必要的变更,”英格兰银行特别指出。“对于 CHAPS 和零售支付系统而言,想要纳入到英格兰银行系统中的下一批公司的时间窗口将在 2025 年。”在过去的 12 个月里,其他严重中断包括 RTGS 中断了 36 分钟,导致 CHAPS、CREST 和零售结算在 2023 年 10 月 26 日停止:“这归咎于网络配置。”同时在 2024 年 6 月 17 日,“由于内部 RTGS 组件”,出现了 6 分钟的中断。2024 年 7 月 18 日,“由于 Swift 的 Y - Copy 服务出现问题,结果影响了这项服务在全球的提供”,CHAPS 结算出现了 245 分钟的中断。身份管理公司 Sectigo 的威胁检测专家 Tim Callan 在通过电子邮件发表的评论中特别指出:“许多组织仍在竭力手动管理部署在其生态系统中的成千上万数字证书。这个过程很耗时,手动颁发一份证书可能需要一个多小时。如果需要成千上万数字证书,证书生命周期手动管理即使对于资源最充足的IT团队来说显然也是无以为继的。”他补充道:“很快,由于 Google Chromium 在其‘共同前进’路线图中的最新更新,TLS 证书的最长有效期将从 398 天缩短到 90 天,这是未来政策更新的一部分。这么做有切实而重大的好处,包括提高安全性,但对于仍然手动管理证书的组织来说,这意味着工作量增加四倍,如果继续采用手动方法,可以预计泄密和中断事件会相应急剧增加。我们再也无法承受手动管理证书带来的重重阻力——中断或泄密的可能性实在太大了。证书管理需要与 CA 无关、实现自动化,这样新规则落实到位时,CISO 就能轻松维护数字信任。”![]()
![]()
![]()
![]()
