有效期又双叒缩短,SSL证书已经成了“七伤拳”?

  • A+
所属分类:安全闲碎


有效期又双叒缩短,SSL证书已经成了“七伤拳”?
撰稿 | 流苏
编辑 | 图图




SSL证书管理难吗?


十年之前,SSL证书管理不过是捎带手的工作,几乎没有任何的问题和技术难点;十年之后,互联网已经发生了翻天覆地的变化,SSL证书管理的工作逐渐成为安全运维人员的噩梦。


2020年2月,苹果宣布:为了提高网络安全性,自2020年9月1日开始,任何有效期超过 398 天的新网站证书将不会受到Safari浏览器的信任,从而被拒绝访问。继苹果最初宣布之后,Mozilla和谷歌也表示了类似的意向,将在其浏览器中实施同样的规则。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


此消息一出,预示着SSL证书管理者的噩梦正式成为现实,同时也给企业安全和发展埋下了隐患。随着企业数字化转型和万物互联时代来临,SSL证书的重要性再次被提升,但是,因SSL证书过期而导致的安全事件也频频发生,给企业带来的影响和损失直线上升。


例如在2020年2月20日晚间,许多苹果用户看到系统不断地弹窗无法验证服务器身份,包括iOS、iPadOS以及 macOS系统全部都是如此。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


出现这一问题的原因竟然是某邮箱服务器的SSL证书已经到期但却未更换,导致整个域名的 HTTPS 证书无法被信任。安全运维人员自然要为此背锅,因为未能及时更换过期证书,企业形象也因此遭受影响。


所幸,官方发现问题后紧急对服务器的SSL证书进行更换,因此并未酿成重大信息安全事件,否则安全运维人员就不止背锅,大概要准备“跑路”了。


那么问题来了,为什么SSL证书管理越来越难,对企业的危害也越来越大,甚至已经到了亟待解决的地步,企业又该如何进行破局?



有效期又双叒缩短,SSL证书已经成了“七伤拳”?



有效期和数量的双重压力


想要回答上面的问题,首先要从SSL证书的作用说起。


互联网的本质在于信息的传输,而其虚拟的特质又决定了信息传输的双方无法确定对方的真实性,因此如何把信息传递给对的那个人成为一个难题。


于是,SSL证书应用而生,为使用TCP / IP在两个通信应用程序之间提供隐私和完整性的协议,对在客户端和服务器端之间来回传递的数据进行加密。


简单来说,SSL证书可以实现两大安全机制。一是信息传输的机密性,SSL采用在通信两方之间建立加密通道的方法保证传输数据的机密性;二是身份验证机制,SSL利用数字签名来验证通信对端的身份,保证登录的Webserver的真实性,以免重要信息被非法窃取。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


凭借着对于传输信息的安全防护,SSL证书受到了浏览器服务商的欢迎,HTTPS开始全面取代传统的HTTP。


但是SSL证书并非永久有效,SSL证书使用的时间久了之后有可能会被不法分子破解,并以此进行网络钓鱼和驱动器恶意软件攻击。为了确保部署SSL证书网站的安全性,证书颁发机构需要确保验证服务器和组织身份的信息是最新和最准确的,SSL证书有效期由此而来。一旦SSL证书过了有效期后,企业就必须重新进行申请。


随着互联网技术快速发展,以及信息安全受重视的程度不断提高,过去10年来,SSL证书的有效期也越来越短,从最早的的8年降至5年、3年、2年,直到苹果宣布的398 天。也就是说,早期企业只需要每8年更新一次即可,如今却几乎每年都要更新,对于安全运维人员来说,工作量几乎翻了八倍。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


同时,SSL证书的保有量反而随着时间的推移日渐庞大。权威数据显示,自2015年以来,无论是国内还是国外,SSL证书的数量呈指数式增长,安全运维人员的工作量自然也是呈指数式增长。


事实上,每次SSL证书的更新过程都颇为麻烦,安全人员最少需要以下五个步骤:


1.确定SSL证书到期的域名。

2.确定这些域名可以正常DNS解析操作,因为续费办理都需要操作DNS解析。

3.拥有服务器或者虚拟管理权限,比如服务器IP地址,远程端口等,虚拟主机也要拥有相应的平台登录信息。

4.联系证书服务商进行续签SSL证书,不清楚之前的证书信息需在证书服务商处进行查询。

5.根据要求完成DNS解析,拿到证书后登录服务器或者虚拟主机替换过期的证书。


试想一下,每一个SSL证书到期,安全运维人员就要重复一遍上面的五个步骤。云计算时代,大多数企业都拥有多个服务器,每个服务器又有多个SSL证书,而且每个证书的到期时间都不一样,这就使得SSL证书的更新工作无比的繁琐且漫长。


最最关键的是,安全运维人员必须要牢牢记住每一个SSL证书到期时间,必须要手动跟踪部署到数百台服务器的数千个证书,容不得半点差错。因为一旦出现错误或者遗漏,网站将不再被信任而拒绝访问,势必会给企业造成严重损失,甚至导致业务停摆。


笔者似乎也有点理解,为什么安全运维在看到“SSL证书缩短为398天”的消息时哀嚎不已。因为每一次SSL证书更新对于他们来说都是一次生死大考,战战兢兢唯恐忘记某个证书,而这样的大考以后每年都要来一次。


SSL证书成了“七伤拳”?


随着企业数字化转型加剧,SSL证书的数量再次飙升,而复杂的云环境也让SSL证书的管理工作难上加难,形势十分严峻,因为SSL证书过期而产生的安全事件屡见不鲜,其中不乏国际大企业。


2015年4月,Google Gmail SMTP服务的SSL证书过期,导致Gmail服务被迫中断数小时,给大多数Gmail 用户造成非常糟糕的用户体验。


2018年12月,爱立信设备证书过期,直接导致全球手机大瘫痪长达数个小时,包括英国的O2用户和日本的软银用户,给企业造成严重的经济损失。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


2020年2月,微软旗下团队协作工具Microsoft Teams昨晚突发宕机事件,微软经过调查后才发现,原因竟然是运维团队忘记更新SSL证书,被国外知名科技媒体评价为“令人尴尬的错误”。


......


这样的例子数不胜数,无论是国内还是国外,无论企业的规模如何,因SSL证书过期导致的安全事件时时刻刻发生在我们身边。


原本是为了让网络连接更加安全的SSL证书,如今已经成为企业不安全因素之一,颇有一股子伤敌伤己的意味,像极了金庸老先生笔下的一门武功——“七伤拳”。


七伤拳作为崆峒派的压箱底功夫,其威力自然不可小觑,但是七伤拳却会给练武者留下隐患,稍有不慎反而会伤及自身。正如SSL证书给信息传输建立安全的通道,但是却也给企业留下了安全隐患,一旦证书过期未更新,轻则给起来带来负面影响,重则成为攻击者发起攻击的突破点,最终酿成重大安全事件。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?


如同七伤拳每炼好一层,对自身的伤害就深一层一样,随着企业数字化程度越高,SSL证书过期造成的影响也越来越大。正如亚洲诚信CEO翟新元所说,万物互联时代,证书即服务,一旦SSL证书过期,服务也将随之下线,所造成的损失将难以估量。


事实上,无法有效管理SSL证书不仅会给企业带来伤害,也让安全运维时常处于高压之下。目前大多数企业尚未有员工专职管理SSL证书,一般由安全或运维团队兼任,问题在于这份“兼职”看似简单,实则难度系数非常高,迫使员工有限的精力全部投入低效的、复杂的流程中。


而SSL证书给企业带来的痛点在于,企业发展过程中不断增加证书数量和低稳定性、低效率的管理模式之间的矛盾。换句话说,随着企业的发展,SSL证书的数量将越来越多,而传统的、低效率的证书管理模式已经成为制约了企业前进的步伐,甚至会给企业带来潜在的安全风险。


CertCloud助力企业修炼内功


巨头们的遭遇以及日益频发的证书过期事件都说明了一个结论,仅依靠传统的手段并不能解决企业目前面临着的SSL证书管理难题。


但是,这并不意味着这个问题无解。六大门派围攻光明顶时,张无忌一语道破“七伤拳”的关键,那就是崆峒派的方法出现了问题,只要先修炼出浑厚的内力就可以保护内脏器官不受暗伤。


那么,企业又该如何修炼好自己的内功,消除SSL证书管理留下的安全隐患呢?



有效期又双叒缩短,SSL证书已经成了“七伤拳”?


2020年8月12日,在亚洲诚信举办的 CertCloud线上发布会上,一个创新性的产品解决了这一问题——以自动化的手段解决SSL证书的管理难题,从而将安全运维从SSL证书的繁琐工作中解脱出来。


亚洲诚信CEO翟新元表示,目前SSL/TLS证书的激增给企业带来了严峻的挑战,SSL/TLS证书部署的诸多问题甚至引发了全球证书的安全危机事件。


为了解决企业SSL证书管理的难题,亚洲诚信的云化 SaaS 服务平台CertCloud重磅亮相,不仅可以提升网络身份和数据的安全性,还可为复杂的DevOps跨云环境简化SSL/TLS。同时,CertCloud不仅符合国际/国内的安全法规,还支持国际/国内多CA的深度整合,最大化简化SSL证书管理工作。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?



亚洲诚信解决方案总监曾瑞丰先生也表示,CertCloud+HSG的证书自动化应用方案可以让国密SSL无缝接入到Web应用体系,适用于软网关、云用户,支持国际+国密双算法,加速国密SSL证书应用普及,将有效解决企业SSL证书的管理难题。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?

有效期又双叒缩短,SSL证书已经成了“七伤拳”?


随着技术的发展与完善,自动化运维已经成为了发展趋势,和传统的SSL证书管理解决方案相比,CertCloud 的优势主要体现在以下几个方面:


① 多年期证书自动化交付:一次采购合同,无需手动操作,自动延长证书有效期。满足未来几年对证书的弹性需求;


② 快速自动验证:通过一步 HTTPS文件验证或 CNAME 验证,快速批准新的和现有的证书。企业只需要完成服务器配置,CertCloud 将自动代理域名验证工作。 


③ 集成 ACME 协议部署:CertCloud 与领先的 ACME 提供商合作,可实现自动管理和更新现有的证书,无需人工介入,降低人工成本和人为疏忽引发的安全风险。


④ 简化、自动化管理证书生命周期:CertCloud可以帮助简化、自动化管理证书生命周期的每一阶段(从签发到续签、替换和吊销),并且还可以帮助企业通过信息预审核,大幅缩短 OV/EV 证书的签发周期,快速获取 OV/EV 证书。有效解决 OV/EV 证书申请周期长、影响业务上线的困扰。 


⑤ 良好的适配性:适配多类部署环境,支持ACME、命令行 、各大云服务( 阿里、腾讯、华为等)。主流WEB SERVERS(Nginx/Apache/IIS 等)、网关设备(F5/SSLVPN 等),以及OPENAPI 。 


⑥ 密码敏捷性:自动化工具快速应对安全问题,借助ACME、OPENAPI、命令行工具快速签发证书,更新私钥。


⑦ 安全评级管理 + 监控告警:持续的监控证书状态的功能,精确定位问题,异常情况实时告警,避免人工监控疏忽带来的安全风险。 


⑧ 自定义私钥轮换周期:很多时候的安全风险,是因为私钥不进行定期更新导致的。CertCloud可以提供定期更新私钥的功能,用户可以自定义更换周期,从而满足不同安全需求。



有效期又双叒缩短,SSL证书已经成了“七伤拳”?


总的来说,CertCloud将助力企业修炼好内功, 一键解决企业当前面临的SSL 证书管理难题,及时有效地应对频繁的证书过期和更新,由此衍生出来的证书私钥管理问题,并对CA信任受损问题进行快速响应,CertCloud符合 NIST SSL/TLS证书管理最佳实践,满足各行各业对SSL/TLS证书的应用需求,特别是金融、电商、传统中大型企业等SSL证书使用量庞大的行业用户,以自动化的手段避免SSL 证书过期事件的发生。


正如亚洲诚信CEO翟新元在发布会上所说的那句话,“未来,证书即是服务,企业只管定义所需服务的时间,其余交给我们”。


有效期又双叒缩短,SSL证书已经成了“七伤拳”?
/
亚洲诚信介绍

亚洲诚信(TrustAsia®)专注于互联网传输领域的可信和安全。不仅拥有国际知名品牌数字证书、代码签名证书,邮件安全证书、SSL证书在线检测评估服务(MySSL)、SSL证书云监控系统(MySSL企业版)以及先进的加密无处不在、HTTPS全站加密、 密钥保护等一系列网络安全解决方案。旗下TrustAsia品牌SSL证书市场占有率在国内保持领先地位。客户覆盖电子商务 、互联网金融、银行及政府机构、保险证券、医疗机构、系统与软件开发商等各个领域。


亚洲诚信作为国内SSL和数据传输安全技术的领跑者,未来将继续致力于新技术,新标准和新的解决方案,如:移动互联网、DevOps、IoT 和商用密码(国密 SM2/SM3/SM4 )等领域,继续为用户提供领先和专业的解决方案。




推荐阅读




亚洲诚信 CertCloud全球首发 | 一场解决SSL/TLS证书困局的硬核发布会


有效期又双叒缩短,SSL证书已经成了“七伤拳”?
有效期又双叒缩短,SSL证书已经成了“七伤拳”?

齐心抗疫 与你同在 有效期又双叒缩短,SSL证书已经成了“七伤拳”?




有效期又双叒缩短,SSL证书已经成了“七伤拳”?

点【在看】的人最好看


有效期又双叒缩短,SSL证书已经成了“七伤拳”?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: