在COVID-19疫情爆發前，證書頒發機構的監管已經非常復雜且艱巨，而在疫情期間，社交距離要求、隔離和就地避難命令使得面對面的會面異常困難，導致無法驗證數字證書。

例如，主要Web瀏覽器需要證書頒發機構(CA)進行年度審核，該審核由第三方公司到現場執行。更重要的是，CA會執行密鑰儀式，密鑰儀式通常用于生成數字證書的公鑰和私鑰，甚至用于吊銷或銷毀受損的證書。

大多數密鑰儀式不僅需要審計員，而且還需要公證人、法定代表人、正式見證人和密鑰儀式“主人”以及來自CA本身的管理人員。這些儀式只能由經過授權的人員在安全設施中進行;訪問這些設施通常需要多層身份驗證，包括智能卡和生物識別掃描。未能進行審核或延遲密鑰生成儀式可能造成毀滅性后果，這不僅影響有問題的CA，而且還影響依賴于該CA證書的每個HTTPS網站、代碼簽名的應用程序和經過身份驗證的數字文檔。

Sectigo(前身為Comodo)公司SSL首席技術官Nick France說：“我們必須進行審核，而且我們必須將密鑰材料安全地保存在數據中心中，這要求人們親自前往現場。”

在最佳情況下，此類活動需要經歷精心的規劃和艱苦的過程。據總部位于英國的GlobalSign公司首席信息安全官Arvid Vermote稱，冠狀病毒大流行使本來已經很復雜的審計和密鑰管理操作更具挑戰性，特別是在網絡釣魚攻擊的證書濫用日益增加之際。

一些世界最大的CA機構表示，在當前情況下，他們仍在處理密鑰管理活動。但是目前尚不清楚這種情況能持續多久，尤其是當情況惡化時，這對網絡安全的基石意味著什么。

密鑰儀式挑戰

大多數CA具有廣泛的業務連續性和災難恢復計劃，以確保根密鑰得到保護，并在必要時進行生成和吊銷。但是他們承認，他們沒有為COVID-19做好充分準備。

Vermote說，幾年前，GlobalSign解決了圍繞根密鑰的安全性和可用性的風險。該公司在三個不同的洲設有分支機構，這些分支機構擁有活躍的成對的根密鑰，可在其他一個或兩個分支機構因自然災害、地緣政治破壞或其他災難性事件而無法訪問時管理密鑰。

Vermote說：“我們最初解決了這些問題，我們認為這足以確保彈性。”

但是，當冠狀病毒全球大流行影響GlobalSign的所有三個分支機構時，這種情況發生了變化。GlobalSign和其他CA已被認為是其運營所在的絕大多數國家和地區中必不可少的業務，這使工作人員可以旅行和訪問數據中心以進行關鍵的密鑰管理儀式。

但是由于這些活動在大流行期間涉及大量工作和風險，因此，CA已嘗試調整其做法和時間表。例如，大型CA DigiCert表示，他們推遲了一些非關鍵密鑰管理活動，以優先考慮其員工的安全，并“鼓勵保持社交距離，直到這種流行病平息”。

該公司發言人說，DigiCert正在與客戶聯系，以預計需求并相應地進行安排，并且不會預見重大影響。

有些密鑰儀式比其他儀式更容易實現。例如，France表示，Sectigo定期為下屬或“子CA”執行密鑰簽名儀式。“我們的很多合作伙伴都有子CA，從我們的根證書授權品牌給他們。我們維護并運行該子CA –這是貼牌做法，并且，因為他們的證書是從根證書簽名，所以我們需要進入數據中心并執行儀式。”

雖然密鑰簽名儀式的發生頻率比密鑰生成儀式的發生頻率高，但是它們并不需要那么多的參與者;建議讓審核員參與，但不強求。France說，幸運的是，Sectigo去年年底和今年大流行之前曾舉行過密鑰生成儀式。

他說：“我們并不是很擔心，因為至少對于我們來說，那些密鑰生成儀式一次生成了大量密鑰。但是我們確實需要基于這些密鑰創建證書，這確實需要訪問這些數據中心內多層安全的機架，以離線簽名設備。”

有些組織沒有延遲密鑰管理儀式，他們選擇了不同的方法。互聯網號碼分配機構(IANA)管理著全球IP地址和DNS根區域分配，他們計劃于4月23日在美國舉行DNSSEC根簽名儀式。他們沒有推遲該活動，ICANN(負責監管IANA)決定在一個儀式中簽署9個月的證書，而不是每隔90天進行簽名。

但互聯網協會互聯網技術、政策和倡導負責人Olaf Kolkman認為，這種做法有利有弊。

他說：“每個季度對密鑰進行簽名的原因是為了降低風險。如果其中一個區域簽名密鑰遭到攻擊，則你至少只有有限的暴露時間(為期90天)。”

Kolkman曾在IANA擔任加密官員，并曾參加過DNSEC根簽名儀式，他指出，提前簽名密鑰會延長攻擊窗口—當這些密鑰被盜或者被暴露時。網絡罪犯可以使用密鑰對惡意軟件進行代碼簽名，民族國家行為者可以將其用于精心設計的網絡間諜活動-或更糟糕的是，攻擊會破壞互聯網本身。

他說：“你可能會看到電影里的場景。”

另外，在大流行期間舉行密鑰儀式會帶來更多直接的健康問題。

ICANN的IANA服務副總裁Kim Davies表示，該組織試圖盡量減少參加儀式的現場參加者的數量。周四的活動將有7人在現場，而過去的儀式(例如2016年DNSSEC密鑰轉換)現場有超過20人。

他說：“我們最終選擇了一種方法，我們嘗試使所有人盡可能地參與，但是以遠程方式進行。”他補充說，ICANN為遠程參與者建立了安全的視頻會議渠道。

Davies說，盡管ICANN數據中心的禮堂可容納30人，但安全籠或安全室卻不是這樣，這些區域是密鑰材料存放的位置，位于硬件安全模塊(HSM)中，通常為6英尺x 12英尺。該儀式每次需要三個人在安全室里。

根據Davies的說法，ICANN于1月份采取了早期行動，并為員工購買了個人保護設備(PPE)。他說：“當然，我們是否需要為儀式穿全身的防護服，還需要進行討論，但我們最終認為這是沒有必要的。”

‘路演’

并非所有密鑰管理儀式都可以延遲或提前數周或數月計劃。證書頒發機構有時會出現緊急情況，需要撤消甚至銷毀根密鑰。在這種情況下，儀式必須進行。

GlobalSign最近遇到了這種情況。該公司發現存在合規性問題，需要銷毀可能受到破壞的密鑰，這迫使Vermote和其他員工在本月初進行了“路演”。

Vermote說：“通常，在規劃全局密鑰管理時，你會考慮密鑰的生成和證書的吊銷。但是你不會考慮銷毀密鑰。”

對于密鑰生成或簽署證書吊銷列表(CRL)，你只需要前往一個密鑰管理位置。但是對于密鑰銷毀，準則規定你需要銷毀你所擁有的所有密鑰副本，這可能需要前往多個數據中心。

Vermote說：“上個月我們面臨的挑戰是，我們必須銷毀我們所有全球地點的所有這些密鑰的副本，而這些地點都處于鎖定或半鎖定命令之下，這相當有趣。”

他說，該過程是一個挑戰，因為GlobalSign需要五到六個受信任的個人才能訪問所有位置的根密鑰。這涉及大量的旅行和暴露于冠狀病毒的風險。而且，Vermote說，這些人通常是該公司中高管，包括他本人。如果其中之一受到感染，則將破壞密鑰管理的業務連續性計劃，并使其他GlobalSign員工面臨風險。

但是GlobalSign不能簡單地用有問題的私鑰撤銷證書。

Vermote說：“由于它們被用于為文檔加上時間戳，因此，如果你真的將其撤消，則所有證書都將失效。就我們而言，這意味著用GlobalSign證書簽名的數百萬PDF文檔將被視為無效，我們當然不希望看到這種情況。”

因此，Vermote和GlobalSign在所有地點進行了路演，以審查密鑰管理活動并在官方審核員在場的情況下銷毀密鑰。這包括存儲活躍密鑰對的三個主要位置(帶有“被動”副本作為備份存儲的位置不需要密鑰儀式)。

本月初，Vermote必須訪問GlobalSign存儲活躍密鑰對的三個位置之一，因為他是指定的密鑰管理者，同時他還是該歐洲位置的儀式主持。Vermote一大早就帶著GlobalSign的一位同事，開車穿越多個國家到達該設施，期間他們經過多個警察站點和邊境巡邏檢查站，接受行李箱搜索、旅行批準審查，甚至還有關于社交距離的指令。

他說：“有人告訴我們，我的同事離我太近了，我不得不讓他坐在汽車的后座。同時，我們必須在另一個辦事處停下來，以取回存儲在保險箱中的密鑰，這些密鑰是解鎖密鑰材料必需的材料。”

當他們到達目的地時，此過程比正常情況更為復雜，因為所有相關人員必須穿戴大量的個人防護設備，并使用自己的個人鍵盤，同時保持彼此之間的安全距離。

這個過程，Vermote共花費18個小時。但是他指出，密鑰銷毀的情況“非常罕見”，GlobalSign相信，只要情況不惡化，他們都可以“正常”進行密鑰生成、撤銷甚至銷毀活動。

審核延遲和不確定性

審核并不像密鑰管理儀式那么關鍵，但是它們仍然是證書頒發機構安全性的重要組成部分。審核失敗或不完整會對證書頒發機構造成嚴重后果;我們曾經看到賽門鐵克CA業務松懈的審核，導致谷歌、Mozilla和其他網絡瀏覽器在2018年棄用了數千個該公司的證書(賽門鐵克于2017年將該業務出售給DigiCert)。

審核程序分為兩種類型：WebTrust程序，由加拿大特許專業會計師和美國注冊會計師協會運行;以及ETSI程序，由歐洲電信標準協會運行。但是，有關審計的最終決策權屬于主要的瀏覽器公司-即微軟、谷歌、Mozilla和Apple。

幸運的是，某些證書頒發機構(例如DigiCert)已于今年年初在限制生效之前完成了WebTrust和ETSI審核。

但是其他組織卻沒有那么幸運。Vermote在2月19日的mozilla.dev.security.policy論壇中提到對審核過程的擔憂。在CA代表與Mozilla和Google的官員進行了一些討論之后，該瀏覽器制造商更新了有關審核延遲的指南。

Mozilla發言人說：“目前，我們尚未看到COVID-19疫情造成任何實質性影響。我們知道審核可能會延遲，因為審核員無法到現場，所以我們在此方面提供指導。”

該公司表示：“當CA意識到不可抗力將延遲他們的審核時，Mozilla希望CA能夠及時披露該問題，提供定期信息更新，并保持與Mozilla根存儲策略的所有其他方面的合規性。”

到目前為止，這些瀏覽器制造商尚未報告由大流行引起的任何問題。

有關審計和策略執行，CA和瀏覽器公司似乎達成一致;Sectigo高級研究員Tim Callan表示，他會感到驚訝的情況是，如果谷歌、Mozilla和微軟沒有為CA提供靈活性，以盡力交流和提供透明度。

Callan說：“他們有合法的必要知道CA在正確地完成其工作，審計是其中的關鍵部分。與此同時，他們也有合法的必要認識到，如果出于健康和法律原因，無法讓WebTrust審核員來到現場，那也只能這樣。”

然而，沒有人知道這種大流行會持續多久，這種靈活性可能會延續多久。France表示，Sectigo已經討論了“虛擬”審核的想法，其中第三方使用安全的視頻會議渠道，例如ICANN來監視和審查CA的設施。

盡管該方法在技術上可能可行，但最終還是要取決于瀏覽器的根程序。

France說：“這個問題，我們尚無答案，而且我甚至認為各審計師本身對此也沒有好的答案，因為這種情況史無前例。”

主要CA表示，COVID-19大流行證明了其連續性計劃是有效的，并且已做好充分準備以度過難關。Cullan說：“我認為所有主要CA都完成了這項工作，這是因為我們沒有看到有關重大停機的任何消息，這很重要。”

但是，Cullun說，如果要延續到一年或更長時間，則CA、Web瀏覽器和審計師將需要就改變某些做法和期望進行討論。

這種情況可能引發有關CA監管的長期政策變更的討論。Vermote說：“我認為有機會向標準中添加更多內容，以確保可以避免這些事情。”

但是也許專家們最迫切需要解決的問題是，所有CA是否都具有強大的連續性和災難恢復計劃。有些組織可能沒有快速有效地應對緊急情況的基礎架構或人員。

雖然GlobalSign和Sectigo都表示，他們正在大流行期間采取更為保守的方式與組織合作，但其實數字證書生態系統已經非常龐大。

Vermote說：“還有很多較小的區域性CA，而且我想知道這些CA是否可以在24小時之內進行緊急撤銷，這對于密鑰受攻擊的情況非常必要，并且對于互聯網安全至關重要。”