KeyChest的第一印象-一个TLS证书过期跟踪器

在今天的网络;管理员必须为他们不同的域和服务器记录几十个或更多的证书。手动监视一个或两个网站证书并确保它们没有过期是一项乏味的工作,而且容易出现人为错误。您最终会意识到您需要一个自动化工具KeyChest是希望成为它。

综述了SSLPing,免费网站证书健康监控服务,。读完这篇文章后,Enigma Bridge的首席执行官Dan Cvrcek找到我,让我知道他们新的免费服务KeyChest

在一个星期内,我肯定会遇到至少12个网站抛出证书错误,因为他们的域名已经过期。近年来,随着HTTPS的爆炸式普及,这个问题变得越来越普遍。跟踪证书过期是一些网站无法做到的一项重要任务。

KeyChest不是像SSLPing那样的证书运行状况监视工具然而,。KeyChest只跟踪证书过期和TLS连接问题(如正常运行时间监视器)。不幸的是,当出现错误时,它不会通知用户。你必须登录和检查你的网站状态的关键仪表板。我希望这个特性很快就会被添加进来,但它似乎是一个严重的遗漏。

Dan Cvrcek告诉我,他们的长期计划是整合和从受尊敬的机构获取最佳实践和证书健康信息SSLLabs

KeyChest仪表板概述

KeyChest仪表板概述。

KeyChest仪表板上的设计和信息流集中在正常工作的东西上,而损坏的服务器和证书则被放在页面的最右边。损坏的服务器和证书的列表包含在页面的中间(这需要相当多的滚动)。任何损坏的证书和服务器都是最重要的信息,应该放在页面的顶部,而不是隐藏在页面的下方。

令人沮丧的是,您得到的报告非常模糊,并且没有帮助您排除故障所需的信息。例如,在下面的截图中,一个域名的IPv6地址没有响应。

但是,不知道问题是什么,甚至不知道是哪个IP地址导致了问题;你可能会浪费大量的时间,而这些时间本可以通过从KeyChest获得更多的信息来解决。

KeyChest用户界面列出一个“TLS检查失败的2个IP地址中的1个”

的东西两个IP地址中的一个是错误的。但哪个?

不过,KeyChest也有一些很棒的东西。与SSLPing不同,它们支持IPv6。KeyChest还扫描给定域的每一条A和AAAA记录,而不是像SSLPing那样只扫描一条记录。仅仅这个特性就使得KeyChest比SSLPing更好。

它们还可以通过查找域的证书透明度报告来自动显示子域和证书。您只需要提供您的顶级域,他们就会发现您域的所有证书问题。

这对于监视在大型组织内存在的证书是有用的,这些证书可能很难跟踪。它还可以节省大量时间跟踪哪些证书和服务器需要监控。

有很多错误,钥匙串绝对不是完成的产品。The “Remember me” checkbox on the login page that does exactly nothing (cookies still expire at the end of the session), the link to the settings page simply saying “More to come …” when there’s a perfectly functional settings page if you dig around a little. Confusingly, if you collapse the sidebar on the left of the screen, the name changes from “KeyChest” to “KA” (??). There are small things like this everywhere you look.

结论

它有缺陷,但它显示了希望。我可以看到KeyChest的潜力,但我不认为它有多大价值。他们为1000个域名/3000台服务器提供免费服务。

糟糕的事件报告和在检测到故障时缺乏电子邮件通知严重降低了服务的价值。

KeyChest需要进行证书运行状况检查,当出现问题时,它们需要更详细的报告。被告知某个领域存在问题是有一定价值的,但是当你不知道问题是什么时,你就会冒着浪费大量时间去寻找那些如果你知道问题是什么就可以解决的琐碎问题。

我现在不能推荐KeyChest,但如果你需要一个像KeyChest这样的服务,那么你应该把它收藏起来,几个月后再访问它。

来源

  • 与恩尼格玛桥公司首席执行官Dan Cvrcek通过电子邮件交流

一些截图被篡改,以删除私人数据,使其更紧凑。