有效期又双叒缩短，SSL证书已经成了“七伤拳”？

想要回答上面的问题，首先要从SSL证书的作用说起。

互联网的本质在于信息的传输，而其虚拟的特质又决定了信息传输的双方无法确定对方的真实性，因此如何把信息传递给对的那个人成为一个难题。

于是，SSL证书应用而生，为使用TCP / IP在两个通信应用程序之间提供隐私和完整性的协议，对在客户端和服务器端之间来回传递的数据进行加密。

简单来说，SSL证书可以实现两大安全机制。一是信息传输的机密性，SSL采用在通信两方之间建立加密通道的方法保证传输数据的机密性；二是身份验证机制，SSL利用数字签名来验证通信对端的身份，保证登录的Webserver的真实性，以免重要信息被非法窃取。

凭借着对于传输信息的安全防护，SSL证书受到了浏览器服务商的欢迎，HTTPS开始全面取代传统的HTTP。

但是SSL证书并非永久有效，SSL证书使用的时间久了之后有可能会被不法分子破解，并以此进行网络钓鱼和驱动器恶意软件攻击。为了确保部署SSL证书网站的安全性，证书颁发机构需要确保验证服务器和组织身份的信息是最新和最准确的，SSL证书有效期由此而来。一旦SSL证书过了有效期后，企业就必须重新进行申请。

随着互联网技术快速发展，以及信息安全受重视的程度不断提高，过去10年来，SSL证书的有效期也越来越短，从最早的的8年降至5年、3年、2年，直到苹果宣布的398 天。也就是说，早期企业只需要每8年更新一次即可，如今却几乎每年都要更新，对于安全运维人员来说，工作量几乎翻了八倍。

同时，SSL证书的保有量反而随着时间的推移日渐庞大。权威数据显示，自2015年以来，无论是国内还是国外，SSL证书的数量呈指数式增长，安全运维人员的工作量自然也是呈指数式增长。

事实上，每次SSL证书的更新过程都颇为麻烦，安全人员最少需要以下五个步骤：

试想一下，每一个SSL证书到期，安全运维人员就要重复一遍上面的五个步骤。云计算时代，大多数企业都拥有多个服务器，每个服务器又有多个SSL证书，而且每个证书的到期时间都不一样，这就使得SSL证书的更新工作无比的繁琐且漫长。

最最关键的是，安全运维人员必须要牢牢记住每一个SSL证书到期时间，必须要手动跟踪部署到数百台服务器的数千个证书，容不得半点差错。因为一旦出现错误或者遗漏，网站将不再被信任而拒绝访问，势必会给企业造成严重损失，甚至导致业务停摆。

笔者似乎也有点理解，为什么安全运维在看到“SSL证书缩短为398天”的消息时哀嚎不已。因为每一次SSL证书更新对于他们来说都是一次生死大考，战战兢兢唯恐忘记某个证书，而这样的大考以后每年都要来一次。

随着企业数字化转型加剧，SSL证书的数量再次飙升，而复杂的云环境也让SSL证书的管理工作难上加难，形势十分严峻，因为SSL证书过期而产生的安全事件屡见不鲜，其中不乏国际大企业。

2015年4月，Google Gmail SMTP服务的SSL证书过期，导致Gmail服务被迫中断数小时，给大多数Gmail 用户造成非常糟糕的用户体验。

2018年12月，爱立信设备证书过期，直接导致全球手机大瘫痪长达数个小时，包括英国的O2用户和日本的软银用户，给企业造成严重的经济损失。

2020年2月，微软旗下团队协作工具Microsoft Teams昨晚突发宕机事件，微软经过调查后才发现，原因竟然是运维团队忘记更新SSL证书，被国外知名科技媒体评价为“令人尴尬的错误”。

......

这样的例子数不胜数，无论是国内还是国外，无论企业的规模如何，因SSL证书过期导致的安全事件时时刻刻发生在我们身边。

原本是为了让网络连接更加安全的SSL证书，如今已经成为企业不安全因素之一，颇有一股子伤敌伤己的意味，像极了金庸老先生笔下的一门武功——“七伤拳”。

七伤拳作为崆峒派的压箱底功夫，其威力自然不可小觑，但是七伤拳却会给练武者留下隐患，稍有不慎反而会伤及自身。正如SSL证书给信息传输建立安全的通道，但是却也给企业留下了安全隐患，一旦证书过期未更新，轻则给起来带来负面影响，重则成为攻击者发起攻击的突破点，最终酿成重大安全事件。

如同七伤拳每炼好一层，对自身的伤害就深一层一样，随着企业数字化程度越高，SSL证书过期造成的影响也越来越大。正如亚洲诚信CEO翟新元所说，万物互联时代，证书即服务，一旦SSL证书过期，服务也将随之下线，所造成的损失将难以估量。

事实上，无法有效管理SSL证书不仅会给企业带来伤害，也让安全运维时常处于高压之下。目前大多数企业尚未有员工专职管理SSL证书，一般由安全或运维团队兼任，问题在于这份“兼职”看似简单，实则难度系数非常高，迫使员工有限的精力全部投入低效的、复杂的流程中。

而SSL证书给企业带来的痛点在于，企业发展过程中不断增加证书数量和低稳定性、低效率的管理模式之间的矛盾。换句话说，随着企业的发展，SSL证书的数量将越来越多，而传统的、低效率的证书管理模式已经成为制约了企业前进的步伐，甚至会给企业带来潜在的安全风险。

巨头们的遭遇以及日益频发的证书过期事件都说明了一个结论，仅依靠传统的手段并不能解决企业目前面临着的SSL证书管理难题。

但是，这并不意味着这个问题无解。六大门派围攻光明顶时，张无忌一语道破“七伤拳”的关键，那就是崆峒派的方法出现了问题，只要先修炼出浑厚的内力就可以保护内脏器官不受暗伤。

那么，企业又该如何修炼好自己的内功，消除SSL证书管理留下的安全隐患呢？

2020年8月12日，在亚洲诚信举办的 CertCloud线上发布会上，一个创新性的产品解决了这一问题——以自动化的手段解决SSL证书的管理难题，从而将安全运维从SSL证书的繁琐工作中解脱出来。

亚洲诚信CEO翟新元表示，目前SSL/TLS证书的激增给企业带来了严峻的挑战，SSL/TLS证书部署的诸多问题甚至引发了全球证书的安全危机事件。

为了解决企业SSL证书管理的难题，亚洲诚信的云化 SaaS 服务平台CertCloud重磅亮相，不仅可以提升网络身份和数据的安全性，还可为复杂的DevOps跨云环境简化SSL/TLS。同时，CertCloud不仅符合国际/国内的安全法规，还支持国际/国内多CA的深度整合，最大化简化SSL证书管理工作。

亚洲诚信解决方案总监曾瑞丰先生也表示，CertCloud+HSG的证书自动化应用方案可以让国密SSL无缝接入到Web应用体系，适用于软网关、云用户，支持国际+国密双算法，加速国密SSL证书应用普及，将有效解决企业SSL证书的管理难题。

随着技术的发展与完善，自动化运维已经成为了发展趋势，和传统的SSL证书管理解决方案相比，CertCloud 的优势主要体现在以下几个方面：

总的来说，CertCloud将助力企业修炼好内功， 一键解决企业当前面临的SSL 证书管理难题，及时有效地应对频繁的证书过期和更新，由此衍生出来的证书私钥管理问题，并对CA信任受损问题进行快速响应，CertCloud符合 NIST SSL/TLS证书管理最佳实践，满足各行各业对SSL/TLS证书的应用需求，特别是金融、电商、传统中大型企业等SSL证书使用量庞大的行业用户，以自动化的手段避免SSL 证书过期事件的发生。

正如亚洲诚信CEO翟新元在发布会上所说的那句话，“未来，证书即是服务，企业只管定义所需服务的时间，其余交给我们”。

/

亚洲诚信介绍