乐趣区

关于ssl:SSL-证书过期事件频发切忌不要因小失大

技术编辑:徐九丨发自:思否编辑部


不久前,微博有了一个技术圈儿的热搜。

在同一时间,大量特斯拉车主纷纷反映 APP 呈现大面积宕机,手机钥匙无奈获取车辆信息,行车过程中无奈点亮车内仪表盘和中控屏只能“盲开”。

在紧急修复之后,特斯拉官网示意起因系 APP 域名证书(SSL 证书)过期,导致 APP 无奈连贯。这样一个推崇技术的企业居然呈现这种低级的技术问题,不免让人唏嘘。

但其实 SSL 证书过期事件,已经在泛滥大型企业甚至国外某些政府机构网站均呈现过。据《企业数字证书治理平安考察 2019》权威报告统计,74% 的组织经验过停机或因为证书过期导致的停机,每个组织的均匀损失超过 1100 万美元。

为什么大家连一个简略的证书认证都搞不好?SSL 证书对企业来说到底有什么用?

一、从 HTTP 协定的致命缺点说起

HTTP 协定有一个致命缺点,即这是一种没有加密的明文传输协定,不能平安的传输敏感数据信息。而创造 SSL 协定的初衷,就是为了解决 HTTP 的这一问题。和 SSL 常常一起呈现的 TLS,是将 SSL 协定标准化之后的名称,因而常常有人将其并列称为 SSL/TLS。

SSL/TLS 证书作为数据安全和隐衷爱护的平安标签,在网络中被大量应用,但近几年来,互联网安全事件依然频发,究其原因,一是因为企业安全意识忽略导致的证书过期,另一个起因是此前证书的寿命过长,大部分企业不会配合进行频繁的证书更新。

为了防止这一问题,从 2020 年 9 月 1 日开始,苹果、谷歌、Mozilla 的浏览器和设施将对有效期超过 398 天的新 TLS 证书显示谬误。

要晓得最早的证书寿命是 8 年,起初缓缓缩短为 5 年、3 年、2 年,这次缩短为一年左右,无疑为企业本来就繁琐艰难的证书治理再次减少了难度。

那么装置 SSL/TLS 证书真的有必要么?不装置又会呈现什么问题?

二、企业必须装置 SSL/TLS 证书么?

毫无疑问,证书有效期期缩短会减少证书使用者更新证书的频率。企业须要每年进行一次证书申请,而证书申请个别要走商务合同、通过层层审核。过程繁琐且周期长,若是忽略遗记更新,还会导致证书过期,从而为企业带来利益和品牌的双重损失。

但这个证书不装可能还真不行。

首先 在国家层面,始终有相应的法律法规要求进行相应的数据加密。在往年新订正的《信息安全技术网络安全等级爱护根本要求》等系列国家标准中,更是明确了网络安全体系承建者、网络运营者等各方对于网络安全的责任和任务。

此外,对于网站本身来说,装置了平安证书后能够无效的避免黑客的窃取和篡改,升高企业的业务危险。网站在装置相应的证书后,在浏览器地址栏会显示一个「平安锁」,通知用户这个网站是通过认证的。

一些高级证书还反对在地址栏显示公司的名称,让访客明确晓得这是企业官网,能够释怀拜访。并且,进行 SSL/TLS 证书认证,对于企业的 SEO 优化也是有帮忙的。

三、企业的痛点要如何解决?

既然装置 SSL/TLS 证书势在必行,并且也对企业有着实实在在的益处,为什么企业还要这么发愁?具体有哪些痛点须要解决?

首先,证书的治理就是一件麻烦事,从签发到续签、替换和撤消都有着繁琐的过程;其次,证书的数量与品种多种多样,个人身份证书、企业或机构身份证书、领取网关证书、服务器证书、平安电子邮件证书、集体代码签名证书 … 很多企业压根就搞不清本人须要装置哪些、须要装置多少。

此次随着证书寿命的进一步缩短,更是减少了企业证书治理的难度。但其实企业的平安证书治理是有捷径的,目前市面上最业余的证书自动化治理平台,曾经能够提供 自动化交付 的相干性能,比方:

  • 多年期证书服务
  • 疾速主动验证
  • 集成 ACME 协定部署
  • 企业组织信息预审核

四、业内当先的自动化平台有哪些能力?

亚洲诚信是亚数信息科技(上海)有限公司利用于信息安全畛域的品牌,业余为各行业提供国内知名品牌数字证书及网络信息安全治理解决方案。

依据 NetCraft 数据显示,亚洲诚信旗下的 TrustAsia SSL 证书在国内品牌证书的市场占有率为第一。目前其客户笼罩电子商务、互联网金融、银行及政府机构、保险证券、医疗机构、零碎与软件开发商等各个领域。共申请 30 余项软著,4 项专利等技术成绩。

咱们以 CertCloud 为例,来看看证书自动化治理平台具体能够提供哪些服务于能力:

1. 多年期证书自动化交付

这项性能在新政策的施行后显得更为实用。借助 CertCloud 服务,无需企业手动操作,能够主动缩短证书有效期,防止因忘记证书到期工夫而未及时更新证书。

2. 简化、自动化治理证书生命周期

后面咱们提到,企业平安证书的治理其实是一个十分繁琐的过程,CertCloud 能够帮忙简化、自动化治理证书生命周期的每一阶段(从签发到续签、替换和撤消),并且还能够帮忙企业通过信息预审核,大幅缩短 OV/EV 证书的签发周期,疾速获取 OV/EV 证书。

3. 良好的适配性

很多企业须要部署很多不同的环境,而 CertCloud 能够适配多类部署环境,反对 ACME、命令行、各大云服务(阿里、腾讯、华为等)、支流 WEB SERVERS(Nginx/Apache/IIS 等)、网关设施(F5/SSLVPN 等),以及 OPENAPI,一站式的帮忙企业解决平安证书的问题。

4. 自定义私钥轮换周期

很多时候的平安危险,是因为私钥不进行定期更新导致的。CertCloud 能够提供定期更新私钥的性能,用户能够自定义更换周期,从而满足不同平安需要。

5. 明码敏捷性

自动化工具疾速应答平安问题,借助 ACME、OPENAPI、命令行工具疾速签发证书证书更新私钥。

6. 平安评级治理 + 监控告警

继续的监控证书状态的性能,精确定位问题,异常情况实时告警,防止人工监控忽略带来的平安危险。

7. 证书具体平安报告

一键扫描证书的破绽和弱配置防止产生平安问题(内置 MySSL.com 提供反对),能够在任何时刻查看网络安全状态的剖析和报告。

8. 安全策略

通过多因素身份验证和证书申请的 IP 地址限度以及我的项目隔离来进步安全性,躲避黑客攻击的危险。


这些性能都是企业在证书治理中的痛点与难点,如果能够借助业余的平台实现自动化治理,将大大降低企业的治理老本与危险。

从更大的角度来看,当初可能是企业开始思考自动化证书治理的好时机,尤其是对于治理数十个公共可信网站证书的大型组织。

随着技术的倒退与欠缺,自动化运维曾经成为了发展趋势,特地是 波及到业务平安以及企业利益的时候,染指业余的平台或者工具无疑是降本增效的好策略。


亚洲诚信从成立以来,始终致力于 SSL 证书在中国的利用和遍及。亚洲诚信 CEO 翟新元作为业内最早的技术专家之一,曾主导了云端自动化 SSL 证书模式的实现,使 SSL 证书从传统的交付形式变革到云端一键开启 HTTPS 的精简模式,为中国站点利用 HTTPS 平安加密传输的遍及也做出了广受业界认可的奉献。

在数据即资产的年代,没有什么比数据安全更为重要。

凋谢和信赖的互联网是全球性的、相互合作的网络世界,其根底是信赖机制。尤其在新的国际形势和国内进一步的标准要求下,企业更加须要确保网络安全、数据隐衷平安,而亚洲诚信也在致力于让这一「老大难」的问题,变得更加简略、便当。

- 完 -

退出移动版