云原生安全破局｜如何管理周期越来越短的数字证书？

随着苹果、Google、Mozilla 相继宣布，拒绝在各自的浏览器中使用创建日期已超过13个月的公开数字证书，2020年9月1日以后，SSL/TLS 证书的使用寿命正式缩短为398天。

2020年3月3日，苹果率先发布通知

过去十年间，这一数字从10年、8年缩短至5年、3年、2年、1年。某些国际领先的金融支付企业甚至启用小时级证书管理机制，这也是证书生命周期的明确趋势，还在使用人工管理的企业产生了大量重复、琐碎的运维工作，人为因素的参与又给证书管理带来了新的风险。关于这一困局，云原生安全能力或许可以给出更好的解法。

西西弗斯式安全困局

2020/05

大量 Tesla 车主反映，行车过程中无法点亮仪表盘和中控屏，只能“盲开”，究其原因竟是证书过期导致的中断

2020/02

Microsoft Teams 通讯平台因证书过期导致业务宕机约3小时，影响了2000万用户

2019/05

LinkedIn 短链接服务中断，这是该公司两年内第二次遭遇证书过期

2018/12

爱立信因证书过期，导致全球数百万用户手机 4G 网络掉线

2017

由于 Equifax 网络中的过期证书，攻击者窃取了约 1.48 亿用户的个人信息

......

据 Ponemon Institute 发布的《企业数字证书管理安全调查2020》报告统计，73% 的组织经历过由于数字证书管理不当而导致的停机和中断。很显然，应对安全风险是证书有效期不断变短的主因。一方面，企业IT部署逐步趋向越来越严格的“零信任”环境，对身份认证强度和频率都提出了更高的要求；另一方面，尽管各类证书的加密算法已从 RSA SHA1 逐步切换到 RSA SHA256，并在进一步从 RSA 切换到 ECDSA 和 SM2 的过程中，证书类产品应对密码算法破解的能力有所提升，但日益变化的威胁环境，仍然对企业不断提升网络安全的动态防御能力提出新要求。缩短证书的有效期，将有助于进一步缩窄攻击面，补偿对算法破解可能的突破。

证书数量的日趋庞大正在造成治理难度增大。截至2020年8月，部署在阿里云服务器上的 SSL/TLS 证书量已达千万级，平均每家大型企业多达数百张。随着业务线的丰富，和 IT 架构向基于身份和访问控制的零信任网络转型，证书种类也变得多种多样——网站证书、应用证书、双向微服务证书；在应用场景上，又包含个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书等。如此大规模的证书管理量级遭遇缩短的证书有效期，意味着运维时间成本直接翻倍。

在保障安全性与规避管理混乱的天平上，是否存在完美平衡的解决方案？

上云应对安全管理难题

IDC 发布的《全球云计算IT基础设施市场预测报告》显示：企业上云已成功完成从被动到主动的转变。企业上云后不仅可以享受云的便捷性、稳定性和弹性扩展能力，而且云的原生安全能够帮助企业更好解决线下无法解决的困难和挑战。

01

全链路生命周期管理降低故障率 

相较于传统的证书管理流程，基于云原生安全能力提供的全生命周期证书管理解决方案，可以有效解决传统私有 PKI（Public Key Infrastructure）体系规模化能力不足、证书颁发和轮转效率低、迁移上云后软硬件体系割裂等问题，实现安全性与敏捷性、自动化与规模化的统一。

物联网和 DevOps 的快速发展，让基于云的高性能 PKI 体系建立变得更加迫在眉睫。DevOps 流程中持续集成、持续分发、微服务和容器的大量集成和使用对数字证书的规模化申请、部署和敏捷性管理提出了更多新要求；物联网场景下，数字证书在整个 IoT 设备生命周期中的使用，也提升了全行业对 PKI 体系针对设备的异构性、密钥轮转周期和跨系统扩展能力的期待。

02

自动化密钥轮转提升安全性 

对安全性要求较高的行业，更是将定期密钥轮转和提升密钥安全等级列入行业标准中【如：支付卡行业数据安全标准 (PCI DSS)、中国国家密码管理局发布的密码行业相关标准（GM/T 0051-2016）等】，建立基于云的高性能 PKI 体系，加快密钥轮转周期，在安全与合规的同时，将有助于深度防御思想在全行业的落地。

比较领先的实践例如美国移动支付公司 Square， 已开始进行部分数字证书基于云环境的24小时轮转。也就是说，攻击者即使拿到了企业的证书密钥，也最多只有24小时进行下一步提权。在未来，这种窗口期还可能缩短至小时级，甚至分钟级，极大程度减少了企业从证书路径上被攻陷的风险。但同时，这种管理成本在量变过程中，将带来运维时间成本的指数级增长，形成管理难度的质变，云原生安全能力将成为最佳解决方案。

        一键托管

阿里云高安全等级保护

随着证书有效期的不断缩短，伴随而来的是证书运维成本的激增。阿里云通过与中国及海外多家数字证书管理和颁发权威机构的紧密合作，帮助企业实现证书从申请、部署、检测、更新、扩展到应急恢复、吊销的全生命周期的自动化、规模化、动态敏捷以及安全的管理，从而提供使用感等同于2年期、3年期、5年期甚至更长周期 SSL 证书规格的证书托管服务，有效帮助企业降低证书运维成本。

阿里云全生命周期证书管理体系

规模化

• PKI 软件和硬件体系的完全托管，在 PaaS 层完成统一；

• 全面满足规模化、高频化颁发等管理和安全需求。

自动化

• 批量自动提交证书申请；

• 批量自动更新证书有效期；

• 批量自动替换云服务证书。

敏捷性

• 一键配置批量 SSL 证书的申请、更新和自动部署；

• 一次维护多年内免除操作；

• 全托管证书生命周期管理，将数百张证书的管理时间缩短到小时级。

安全性

• 基于密码基础设施，实现对托管证书私钥的硬件保护，避免因误操作带来的私钥泄漏风险；

• 原生集成，让更多云原生场景具备“一键部署能力”，防止分发部署环节产生安全风险，降低管理成本；

• 高效密钥轮转，缩短攻击窗口期；

• 证书使用中全面审计审查，随时监控安全风险。

此外，全生命周期证书管理解决方案，还解决了跨国企业或中国企业出海过程中可能面临的不同 PKI 体系合规与可管理性冲突问题，其开放式的 API 接口则提供了对线下 CA 系统、交叉系统、不同密码系统等跨系统的扩展能力。

随着云原生时代的到来，业务逻辑与基础运维的解耦已是众望所归。建立自动化的全生命周期证书管理，形成基于云的高性能 PKI 体系，通过为复杂环境下的安全运维工作做减法，可以让企业更多专注于业务本身，进而赢得竞争。

戳“阅读原文”了解阿里云 SSL 证书服务👇