警惕!SSL证书过期,后果挺严重!
2020年5月13日,特斯拉国内数位车主发微博称,特斯拉App大面积宕机,致使手机无法与车链接,手机钥匙失效,导致无法获取车辆信息、无法点亮车内仪表盘、中控屏。多车主处于盲开状态,极度危险。
部分车主还表示因此问题拨打特斯拉400电话,一直处于无人接听状态,特斯拉线上客户支持回复相关问题称,是由于系统服务器故障导致手机App无法直接控制车辆。另有车主通过相关系统查询显示,特斯拉服务器域名证书过期。
(图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除)
为什么SSL证书过期?
我们都知道,SSL证书有助于对传输中的数据进行加密。通过在网站的服务器上安装SSL证书,通过HTTPS托管该证书,并在网站与其访问者之间创建安全的加密连接。这样既可以保障沟通,SSL还能对服务器进行身份验证。
所有SSL证书都需要对网站的某些内容进行身份验证,甚至域验证证书也会对服务器进行身份验证。与任何形式的身份验证一样,我们在一定的时间内需要重新验证所使用的信息,以确保其准确性。
但SSL证书并不是永久有效的。在2020年的9月1日后,SSL证书的最长有效期被限制在398天以内,也就是说,现在起每个安装了SSL证书的网站需要每年更新或者替换SSL证书一次,不然将会过期,变为无效证书。
证书无效又会怎样?当用户浏览你的网站时,浏览器会在毫秒内检查SSL证书的有效性(这是SSL握手的过程)。如果证书已过期,则会发出如下警告:
(图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除)
答案是死亡。因为死亡证明上,它的死因写着:证书过期。
SSL证书过期后会发生什么情况?
SSL证书有助于加密传输中的数据。通过在网站的服务器上安装SSL证书,它能够让HTTPS托管网站,并在网站和它的访问者之间创建一个安全的、加密的连接。这能够保障通讯安全,SSL还能对服务器进行身份验证。
然而,SSL证书不会永远有效。它们会过期。行业中有一个论坛证书机构/浏览器论坛(CAB论坛),它是SSL/TLS行业的实际监管机构。CAB论坛会指定证书机构在签发可信SSL证书时必须遵守的基线要求。这些要求规定SSL证书的生命周期不能超过27个月(2年+在之前的证书还有剩余时间并对它进行续订时,可最高设置的三个月)。
这意味着所有网站都需要至少每隔两年对其SSL证书进行续订或替换。因此,当SSL证书过期后会发生什么情况?情况可能是你所无法想象的。
当用户的浏览器抵达你的网站时,它会在一毫秒之内对SSL证书的有效性进行检查(它是SSL握手的一部分)。如果证书是过期的,它就会发出这样的警告:
想必很多网管或者站长都懂,这一警告信息在本质上会对网站的浏览和销售造成致命打击吧——无论使用的是何种价值衡量指标。尽管大多数浏览器确实提供了点击跳过警告信息的选项,但几乎很少有浏览器这么做。
一般的互联网用户可能并不知道非常多有关网络安全的知识,但是他们知道两件事:计算机是昂贵的,而恶意软件会损害计算机。因此,如果他们的浏览器告诉他们网站不安全,或者在这种情况下他们的连接是不安全的,他们很有可能就会听从警告信息,不再访问网站。
SSL证书为什么会过期?
SSL证书有两大作用:加密和身份认证。后者是导致证书过期的最大的原因。所有SSL证书都会一些东西进行身份验证,甚至域名验证证书还会对服务器进行身份认证。与所有形式的身份认证一样,我们需要偶尔对自己正在使用的信息进行重新验证,以确保它是准确的。
在互联网上尤其如此。事物时刻都在变化。网站的所有者在不断变化,各公司也在不断进行出售和收购。而SSL/TLS基于的是一个可靠的模式,而这个模式可能会被这些变化所破坏。因此,对于那些签发可靠证书的证书机构来说,他们要确保用来验证服务器和组织的信息是最新的、准确的,这一点十分重要。
如果有什么东西的生命周期会缩短的话,那一定是证书的生命周期。SSL证书曾经可以签发最高5年的生命周期。然后缩短到了3年。然后又是2年——这还是一个折中方案,因为谷歌最初的提议是1年。为了,证书的有效期可能会缩短至3到6个月。
然而,身份认证方面的因素并不是证书过期的唯一原因。证书的有效期越短,该行业尽快推出更新也就更容易。例如,几年前,SSL/TLS行业弃用了SHA-1散列算法。正如所有曾经购买过SSL证书的人所知道的,在进行生成的过程中你会选择散列算法。如果有效期为三年,在一些情况下,可能必须等待长达39个月的时间,然后证书才会过期,达到截止时间,然后该网站才会弃用SHA-1。
如何避免SSL证书过期?
当涉及到证书管理时,各规模大小的企业都存在一些不同的问题。尽管中小型企业可能只拥有一个或少量证书,但企业级别的公司通常都拥有庞大的网络,无数的联网设备,还有许多其他方面的事宜需要考虑。在企业级别,SSL证书过期通常是监督不善的结果。
在应对这些挑战方面,以下是一些关于避免证书过期的可操作性建议。
1.CA机构们都会在过期前90天内以固定的时间间隔向企业发送过期通知。确保企业对这些提醒进行了设置。当证书过期的时候前,企业需确保这些通知能收到。
2.找一个认真负责的CA机构,企业业务面临的最大的挑战之一是可见性。认真负责的CA机构可以帮助企业在整个基础设施中查看和管理数字证书。另外,确保定期进行登录,这样就可以在需要续订时做好准备。
SSL证书无效或过期会发生什么?如何避免?
很多部署了HTTPS加密协议的网站,也可能在访问时发现安全证书存在问题,提示已过期或尚未生效。证书过期后会发生什么情况?或者换一种说法如果不及时续订SSL证书会
试想,如果是你访问到这样一个网站看到这么多的警示,你还敢再逗留或者再继续访问吗?
为什么SSL证书会过期?
首先,SSL证书的最大作用是:加密和身份验证。而后者正是关系到SSL证书有效期限的最主要原因。
所有SSL证书都需要对网站的某些内容进行身份验证,甚至域验证证书也会对服务器进行身份验证。与任何形式的身份验证一样,我们在一定的时间内需要重新验证所使用的信息,以确保其准确性。
在互联网上尤其如此,虚拟的网络世界变幻莫测,网站易手、公司被买卖,SSL / TLS基于可被其破坏的信任模型。因此,对于颁发受信任证书的证书颁发机构(CA)来说,重要的是要确保客户用于认证服务器和组织的信息是最新和准确的。
也因此,SSL证书的有效期从最早的十年、五年、再到三年、两年,到今年目前改为一年。
但身份验证并不是证书有效期缩短的唯一原因。从长远来看,较短的证书有效期也使证书的技术开发随时进行有效更改。例如,几年前,SSL / TLS行业已弃用SHA-1作为hash算法,但在这之前你购买的是具有3年的有效期的以SHA-1作为hash算法的SSL证书,在这种情况下,你就得必须等待最后期限后的39个月,才能更换最新算法的证书,确保网站的正常安全使用。
在三大浏览器(Apple Safari、 Google Chrome、Mozilla Firefox)的推动下,SSL/TLS证书最长有效期变更为13个月,同时,全球各大证书权威签发机构已经停止签发有效期超过1年(398天)的SSL证书。