警惕!SSL证书过期,后果挺严重
SSL证书过期后果很严重?
对于我们的客户,我们作为专业的CA一般会要求他们注册我们官网的账户资料,以便我们帮助客户进行证书业务管理,以免到了认证日期没有续费导致证书过期。这时又有许多客户会问:证书过期会怎么样?很严重吗?
至于这个问题,我的理解是,如果网友他们刚好经过或者专门访问你的网站,进去之后发现是一个过了期的认证网站,那种感觉就像到了一座坟墓前令人感到惊悚,他们也许不愿意再进入你的网站……
这么形容是否夸张了些?我为大家分析一下吧
SSL证书过期会怎么样?
我们都知道,SSL证书有助于对传输中的数据进行加密。通过在网站的服务器上安装SSL证书,通过HTTPS托管该证书,并在网站与其访问者之间创建安全的加密连接。这样既可以保障沟通,SSL还能对服务器进行身份验证。
但SSL证书并不是永久有效的。在今年九月份之前,全球SSL证书的最长有效期是27个月,而在今年的9月1日后,SSL证书的最长有效期被限制在398天以内。也就是说,现在起每个安装了SSL证书的网站需要每年更新或者替换SSL证书一次,不然将会过期,变为无效证书。
证书无效又会怎样?当用户浏览你的网站时,浏览器会在毫秒内检查SSL证书的有效性(这是SSL握手的过程)。如果证书已过期,则会发出如下警告:
试想,如果是你访问到这样一个网站看到这么多的警示,你还敢再逗留或者再继续访问吗?
为什么SSL证书会过期?
首先,SSL证书的最大作用是:加密和身份验证。而后者正是关系到SSL证书有效期限的最主要原因。
所有SSL证书都需要对网站的某些内容进行身份验证,甚至域验证证书也会对服务器进行身份验证。与任何形式的身份验证一样,我们在一定的时间内需要重新验证所使用的信息,以确保其准确性。
在互联网上尤其如此,虚拟的网络世界变幻莫测,网站易手、公司被买卖,SSL / TLS基于可被其破坏的信任模型。因此,对于颁发受信任证书的证书颁发机构(CA)来说,重要的是要确保客户用于认证服务器和组织的信息是最新和准确的。
也因此,SSL证书的有效期从最早的十年、五年、再到三年、两年,到今年目前改为一年。
但身份验证并不是证书有效期缩短的唯一原因。从长远来看,较短的证书有效期也使证书的技术开发随时进行有效更改。例如,几年前,SSL / TLS行业已弃用SHA-1作为hash算法,但在这之前你购买的是具有3年的有效期的以SHA-1作为hash算法的SSL证书,在这种情况下,你就得必须等待最后期限后的39个月,才能更换最新算法的证书,确保网站的正常安全使用。
在三大浏览器(Apple Safari、 Google Chrome、Mozilla Firefox)的推动下,SSL/TLS证书最长有效期变更为13个月,同时,全球各大证书权威签发机构已经停止签发有效期超过1年(398天)的SSL证书。
如何避免SSL证书过期?
许多的企业在证书管理方面存在一系列不同的问题。中小企业(SMB)可能只有一个或少数几个证书,而大型企业公司的网络比较庞大,连接的设备众多,覆盖面广,SSL证书布置广泛。无论是中小型或者大型公司,可能由于管理不规范、缺乏专业性等原因,会造成一定的疏漏。
Ø自动化管理
无论是企业或者个人网站,任何级别避免这些问题的最佳方法就是自动化,选择专业的自动化数字证书管理服务平台。该技术主要通过ACME协议来实现。IETF将ACME协议作为标准,ACME 协议通过在给定 Web 服务器上安装证书管理代理来运行。组织或域名在一开始就需要经过验证,证书管理代理协助域名操作验证,一旦完成,代理可以请求,续订和撤销证书。证书管理代理可以自动化,以固定的时间期限与 CA 签约,更换或延续证书和密钥。这些都不需要人为干预。
Ø非自动化管理
·首先要找一个专业靠谱的CA或者SSL服务单位,他们会有健全的证书管理平台和良好的服务意识,只要你的联系方式正确地记录在相关系统,他们就会在证书到期前的90天、30天进行提醒,可以帮助企业在整个基础架构中查看和管理数字证书。
·企业有网络管理人员的人事变动,需要随时与SSL证书服务单位进行联系确认该管理人员的通讯方式更改情况,以便日后进行有效联系。另外,确保定期登录证书购买系统页面,以便在即将进行续订时可以随时得到通知。
·确定有效期限,以随着到期日期的临近而逐步提升提醒。
忘记续订或替换即将到期的SSL证书对任何人都可能发生。但是,有很多操作可以帮助你将这样的风险降至最低。要么选择自动化,要么就需要具有可见性和良好的沟通渠道,以便你可以提前解决SSL到期和续费的问题。
-END-
国密应用研究院介绍
集结密码界专家大咖针对政策解读、市场研究、技术应用等各个研究方向作出最有态度的观点输出,行业科普持续日常更新,做一个最专业、最智慧、最有料、最全面的商密应用研究传播平台。
编辑、设计|豚BB
投稿邮箱|ai6@wotrus.com