2020年9月1日起,兩年期公共SSL/TLS證書正式告別了行業,在三大瀏覽器(Apple Safari、 Google Chrome、Mozilla Firefox)的推動下,SSL/TLS證書最長有效期變更爲13個月,同時,全球各大證書權威簽發機構已停止簽發有效期超過1年(398天)的SSL證書。
證書壽命縮短的關鍵因素:安全性
過去十年,SSL/TLS證書的使用壽命顯著縮短。
2011年,由國際性電子認證機構(CA)與操作系統、瀏覽器廠商組成的CA/B論壇(CA / Browser Forum)將證書有效期從最早的8-10年縮短至5年。
2015年,又由5年縮短至3年,到2018年則縮短爲2年。
2019年,雖然CA/B論壇會議投票否決了將證書有效期減少至一年的提議,但該措施卻依然得到了蘋果、谷歌、微軟、Mozilla和Opera等瀏覽器廠商的壓倒性支持。而在今年2月,蘋果首次宣佈:拒絕在9月1日或之後發佈的有效期超過398天的新SSL/TLS證書。從那時起,Google和Mozilla都紛紛效仿。
爲什麼證書有效期要越縮越短呢
關鍵因素就是安全性。SSL/TLS是基於加密的互聯網安全協議,爲互聯網通信提供隱私、身份驗證和數據完整性,從而保護用戶免受竊聽、中間人攻擊和劫持攻擊。
以Google和蘋果爲代表的瀏覽器廠商擔心加密算法的安全漏洞會影響證書的安全性;另外,證書的有效期限甚至超過一些網站的“存活”時間。新規定的實施迫使網站提前更新證書,減少被忽視的舊證書數量,降低證書被竊取的風險;
劃重點!新規後,具體變化有哪些?
① 9月1日後簽發的有效期超過398天的證書,三大瀏覽器(含手機、平板及PC端)都會提示“不安全”!
② 每個網站都必須每年更新一次證書!一旦證書過期,瀏覽器就會發出安全警告。
SSL/TLS證書1年有效期政策對企業的“利”和“弊”
利
好的方面:換個角度想,我們可以將SSL/TLS證書的短期更新維護,用以防止不法分子破解SSL/ TLS標準中的密碼,竊取證書用於網絡釣魚和驅動器惡意軟件攻擊。藉由每年固定的續期與審覈,遷移到更安全的證書。確保 Web 開發人員始終使用最新的 SSL 證書加密標準和技術,維護企業網站安全,讓用戶更安心、放心的瀏覽。
弊
縮短證書有效期最直接受影響的就是網站IT管理人員了,爲了讓所申請的SSL/TLS證書生效並獲得瀏覽器信任,企業必須每年進行續費更新。然而傳統的SSL證書申請流程方式要走商務合同,經過層層審覈。過程繁瑣且週期長,意味着企業成本的提高和網站管理人員的工作量增加數倍。
另外,擁有多個服務器,每個服務器擁有多張(不同有效期的)證書,如:金融、電商、傳統中大型企業等,對於網站管理人員來說,手動跟蹤部署管理大量的SSL/TLS證書負擔已超工作負荷,若是疏忽證書有效期忘記更新,導致證書過期,將面臨網站業務意外中斷和安全風險,從而給企業帶來難以估量的財產和信譽損失。
有效期縮短+證書量龐大!DevOps的至暗時刻
隨着企業業務的不斷髮展,SSL/TLS證書的呈現爆炸式增長,證書有效期限的持續縮短讓不少網站因爲忘記更新而停擺,證書過期是一種常見的問題,但其影響面卻可能極其廣泛。全球知名的證書安全危機事件就有特斯拉、Microsoft Teams及Spotify等國際大企業。
Venafi的最新研究顯示,全球四分之三的首席信息官擔心TLS證書的激增以及與之相關的日益增長的安全風險。
隨着企業信息安全預算的增長,越來越多的IT預算被用於保護企業的“安全邊界”,但許多公司忽視了數字證書管理的重要性。一項新的研究表明,未來兩年這種嚴重疏忽可能會給企業帶來高達6720萬美元的損失。
面對數百或可能數千張證書的運維挑戰,場景複雜、效率低下、成本較高,乏味的手動或半自動化管理證書方式已不再適用。所以,切勿因小失大,企業應當積極採用能夠降低風險和運營成本的措施,是時候在證書管理上多下功夫了!