SSL 证书过期事件频发,切忌不要因小失大!

clipboard.png

技术编辑:徐九丨发自:思否编辑部


不久前,微博有了一个技术圈儿的热搜。

在同一时间,大量特斯拉车主纷纷反映 APP 出现大面积宕机,手机钥匙无法获取车辆信息,行车过程中无法点亮车内仪表盘和中控屏只能“盲开”。

clipboard.png

在紧急修复之后,特斯拉官方表示原因系 APP 域名证书(SSL 证书)过期,导致 APP 无法连接。这样一个推崇技术的企业竟然出现这种低级的技术问题,难免让人唏嘘。

但其实 SSL 证书过期事件,曾经在众多大型企业甚至国外某些政府机构网站均出现过。据《企业数字证书管理安全调查 2019》权威报告统计,74% 的组织经历过停机或由于证书过期导致的停机, 每个组织的平均损失超过 1100 万美元。

为什么大家连一个简单的证书认证都搞不好?SSL 证书对企业来说到底有什么用?

一、从 HTTP 协议的致命缺陷说起

clipboard.png

HTTP 协议有一个致命缺陷,即这是一种没有加密的明文传输协议,不能安全的传输敏感数据信息。而发明 SSL 协议的初衷,就是为了解决 HTTP 的这一问题。和 SSL 经常一起出现的 TLS,是将 SSL 协议标准化之后的名称,因此经常有人将其并列称为 SSL/TLS。

SSL/TLS 证书作为数据安全和隐私保护的安全标签,在网络中被大量使用,但近几年来,互联网安全事件仍然频发,究其原因,一是因为企业安全意识疏忽导致的证书过期,另一个原因是此前证书的寿命过长,大部分企业不会配合进行频繁的证书更新。

为了避免这一问题,从 2020 年 9 月 1 日开始,苹果、谷歌、Mozilla 的浏览器和设备将对有效期超过 398 天的新 TLS 证书显示错误。

clipboard.png

要知道最早的证书寿命是 8 年,后来慢慢缩短为5年、3 年、2 年,这次缩短为一年左右,无疑为企业原本就繁琐困难的证书管理再次增加了难度。

那么安装 SSL/TLS 证书真的有必要么?不安装又会出现什么问题?

二、企业必须安装 SSL/TLS 证书么?

clipboard.png

毫无疑问,证书有效期期缩短会增加证书使用者更新证书的频率。企业需要每年进行一次证书申请,而证书申请一般要走商务合同、经过层层审核。过程繁琐且周期长,若是疏忽忘记更新,还会导致证书过期,从而为企业带来利益和品牌的双重损失。

但这个证书不装可能还真不行。

首先在国家层面,一直有相应的法律法规要求进行相应的数据加密。在今年新修订的《信息安全技术网络安全等级保护基本要求》等系列国家标准中,更是明确了网络安全体系承建者、网络运营者等各方对于网络安全的责任和义务。

此外,对于网站自身来说,安装了安全证书后可以有效的防止黑客的窃取和篡改,降低企业的业务风险。网站在安装相应的证书后,在浏览器地址栏会显示一个「安全锁」,告诉用户这个网站是经过认证的。

clipboard.png

一些高级证书还支持在地址栏显示公司的名称,让访客明确知道这是企业官网,可以放心访问。并且,进行 SSL/TLS 证书认证,对于企业的 SEO 优化也是有帮助的。

三、企业的痛点要如何解决?

clipboard.png

既然安装 SSL/TLS 证书势在必行,并且也对企业有着实实在在的好处,为什么企业还要这么发愁?具体有哪些痛点需要解决?

首先,证书的管理就是一件麻烦事,从签发到续签、替换和吊销都有着繁琐的过程;其次,证书的数量与种类多种多样,个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书...很多企业压根就搞不清自己需要安装哪些、需要安装多少。

此次随着证书寿命的进一步缩短,更是增加了企业证书管理的难度。但其实企业的安全证书管理是有捷径的,目前市面上最专业的证书自动化管理平台,已经可以提供自动化交付的相关功能,比如:

  • 多年期证书服务
  • 快速自动验证
  • 集成 ACME 协议部署
  • 企业组织信息预审核
  • ...

四、业内领先的自动化平台有哪些能力?

clipboard.png

亚洲诚信是亚数信息科技(上海)有限公司应用于信息安全领域的品牌,专业为各行业提供国际知名品牌数字证书及网络信息安全管理解决方案。

根据 NetCraft 数据显示,亚洲诚信旗下的 TrustAsia SSL 证书在国内品牌证书的市场占有率为第一。目前其客户覆盖电子商务 、互联网金融、银行及政府机构、保险证券、医疗机构、系统与软件开发商等各个领域。共申请 30 余项软著,4 项专利等技术成果。

我们以 CertCloud 为例,来看看证书自动化管理平台具体可以提供哪些服务于能力:

clipboard.png

1. 多年期证书自动化交付

这项功能在新政策的实施后显得更为实用。借助 CertCloud 服务,无需企业手动操作,可以自动延长证书有效期,避免因遗忘证书到期时间而未及时更新证书。

2. 简化、自动化管理证书生命周期

前面我们提到,企业安全证书的管理其实是一个非常繁琐的过程,CertCloud 可以帮助简化、自动化管理证书生命周期的每一阶段(从签发到续签、替换和吊销),并且还可以帮助企业通过信息预审核,大幅缩短 OV/EV 证书的签发周期,快速获取 OV/EV 证书。

3. 良好的适配性

很多企业需要部署很多不同的环境,而CertCloud 可以适配多类部署环境,支持ACME 、命令行 、各大云服务( 阿里、腾讯、华为等)、主流 WEB SERVERS(Nginx/Apache/IIS 等)、网关设备(F5/SSLVPN 等),以及 OPENAPI,一站式的帮助企业解决安全证书的问题。

4. 自定义私钥轮换周期

很多时候的安全风险,是因为私钥不进行定期更新导致的。CertCloud 可以提供定期更新私钥的功能,用户可以自定义更换周期,从而满足不同安全需求。

5. 密码敏捷性

自动化工具快速应对安全问题,借助ACME、OPENAPI、命令行工具快速签发证书证书更新私钥。

6. 安全评级管理 + 监控告警

持续的监控证书状态的功能,精确定位问题,异常情况实时告警,避免人工监控疏忽带来的安全风险。

7. 证书详细安全报告

一键扫描证书的漏洞和弱配置避免产生安全问题(内置 MySSL.com 提供支持),可以在任何时刻查看网络安全状态的分析和报告。

8. 安全策略

通过多因素身份验证和证书请求的 IP 地址限制以及项目隔离来提高安全性,规避黑客攻击的风险。


这些功能都是企业在证书管理中的痛点与难点,如果可以借助专业的平台实现自动化管理,将大大降低企业的管理成本与风险。

从更大的角度来看,现在可能是企业开始考虑自动化证书管理的好时机,尤其是对于管理数十个公共可信网站证书的大型组织。

随着技术的发展与完善,自动化运维已经成为了发展趋势,特别是涉及到业务安全以及企业利益的时候,介入专业的平台或者工具无疑是降本增效的好策略。


clipboard.png

亚洲诚信从成立以来,一直致力于 SSL 证书在中国的应用和普及。亚洲诚信 CEO 翟新元作为业内最早的技术专家之一,曾主导了云端自动化 SSL 证书模式的实现,使 SSL 证书从传统的交付方式革新到云端一键开启 HTTPS 的精简模式,为中国站点应用 HTTPS 安全加密传输的普及也做出了广受业界认可的贡献。

在数据即资产的年代,没有什么比数据安全更为重要。

开放和信任的互联网是全球性的、相互合作的网络世界,其基础是信任机制。尤其在新的国际形势和国内进一步的规范要求下,企业更加需要确保网络安全、数据隐私安全,而亚洲诚信也在致力于让这一「老大难」的问题,变得更加简单、便利。

-完-

clipboard.png

阅读 8.1k

推荐阅读

SegmentFault 思否对开发者行业的洞见、观察与报道

17895 人关注
114 篇文章
专栏主页