1987WEB视界-分享互联网热门产品和行业

您现在的位置是:首页 > 域名 > 正文

域名

这是SSL证书过期时会发生的情况

1987web2023-09-25域名134

SSL证书到期后会发生什么?

SSL证书有助于加密传输中的数据。通过在网站的服务器上安装SSL证书,它通过HTTPS托管,并在站点和访问者之间创建安全的加密连接。

这可以保障沟通,SSL还对服务器进行身份验证。

但SSL证书永远无效,说明证书到期了。有一个行业论坛,证书颁发机构/浏览器论坛,作为SSL / TLS行业的事实监管机构CAB论坛。规定了证书颁发机构发布可信SSL证书必须遵循的基准要求。这些要求规定SSL证书的有效期可能不超过27个月(两年+当您续订以前的证书时,您可以续签最多三个月)。

这意味着每个网站至少每两年需要续订或更换一次SSL证书。那么,当SSL证书到期时会发生什么?

当用户的浏览器到达您的网站时,它会在几毫秒内检查SSL证书的有效性(它是SSL握手的一部分)。如果证书已过期,它会发出如下警告:

此消息本质上是网站流量,失去销售保证

无论网站重视什么指标或KPI。虽然大多数浏览器确实提供了点击警告的选项,普通互联网用户可能对网络安全知之甚少,但他们知道两件事:计算机价格昂贵,恶意软件会破坏计算机。因此,如果他们的浏览器告诉他们网站不安全,或者在这种情况下告诉他们的连接不安全,他们可能会听。

打开凤凰新闻,查看更多高清图片

为什么SSL证书过期?

正如我们前面提到的,SSL证书有助于实现两件事:加密和身份验证。而后者是证书到期的罪魁祸首。

所有SSL证书都会对某些内容进行身份验证,甚至是域验证证书也可以与任何形式的身份验证一样,网站偶尔需要重新验证正在使用的信息,以确保其准确无误。

在互联网上尤其如此,事情总是在变化。网站易手、公司买卖的SSL / TLS基于可被其破坏的信任模型。因此,对于颁发受信任证书的证书颁发机构来说,确保他们用于对服务器和组织进行身份验证的信息尽可能是最新且准确的,这一点非常重要。

让我们看一个实际的例子。Circuit City是一家大约十年前倒闭的电子和电器零售商。现在,想象一下SSL证书没有过期。Circuit City的资产全部被抛售或抛弃,如果有人抓住证书及其签发的域名,该怎么办呢?现在,他们可以随心所欲地使用该域名做任何事情(直到证书被撤销,但这是一个完全独立的混乱),每个人的浏览器都会将此网站视为合法文章。没有意识到公司的人现在已经不复存在,很容易受到欺骗。毕竟,证书是合法的。

但这不可能发生。如果有的话,证书寿命也会缩短。我们经常听到评论家声称证书到期是证书颁发机构的一个骗局,CA不是推动更短的有效期,浏览器是。

以前,SSL证书可以发行长达五年,然后它被击倒到三年。然后去年它降到了两年。这是妥协,因为最初的谷歌提案是一年。将来证书的有效期可能短至3-6个月。让我们加密发布3个月的证书。

然而,身份验证不是证书到期的唯一罪魁祸首。证书有效期较短也使行业更容易更快地推出变更。例如,几年前,SSL / TLS行业不赞成使用SHA-1作为散列算法。任何订购过SSL证书的人都知道,在生成过程中选择了散列算法。有效期为三年,在某些情况下,可能需要等待证书到期前的截止日期后39个月,并且该网站不推荐使用SHA-1。

短暂的有效期解决了这一问 如果我们要逐步淘汰SHA-2而不是SHA-3,可以设置发布SHA-2证书的截止日期,并且在27之内(如果它减少到一个,则为15)年,SHA-2将被完全弃用。

高调SSL证书过期

如果不小心忘记按时更新并让SSL证书过期,下面一份高调SSL过期的运行列表可能会有点安慰:

LinkedIn让SSL / TLS证书再次过期!

两年来,LinkedIn在其SSL证书到期后遭遇美国和英国的停电,这是两年来的第二次。这一次到期影响了一个链接缩短器lnkd.in,这使得网站无法访问任何点击其中一条缩短链接的人。链接缩短器基本上像代理一样,缩短的链接与链接缩短服务器连接,进行检查,然后传递到预期的目的地。这就是事情,这不仅影响LinkedIn,任何通过网站分享内容的人都会缩短他们的链接。以下是我们其中一个缩短网址的帖子的示例。

这是一个完美的例子,证明过期的证书不仅会伤害您的组织,还会损害您的客户和合作伙伴。

美国政府关闭导致数十个SSL证书到期

为了完善2018年并启动2019年,管理美国的两个政党决定玩一场关闭政府机关的游戏,结果导致超过130个政府SSL证书到期,导致数十个网站完全无法访问。作为2015年国土安全部指令的一部分,所有政府网站都应该在HSTS预载列表中。HSTS是一个安全标头,强制浏览器建立安全连接。这是一个好主意,唯一的缺点是,如果SSL / TLS证书发生任何事情,网站就会中断,休息一下。我的意思是完全无法接触。当它发生在诸如司法部,美国上诉法院或美国国家航空航天局等政府组织时,这是一个问题。

爱立信证书到期,3200万人失去移动电话服务

在与爱立信网络相关的数字证书到期后,2018年12月,英国数百万人没有蜂窝覆盖。爱立信是一家瑞典移动公司,为全球蜂窝网络生产无数的后端设备。由于爱立信管理软件版本中的过期数字证书被欧洲电信公司广泛使用,数百万蜂窝用户经历了停机。停电最初影响了O2及其母公司Telefonica使用的软件,但最终中断出现了下游也是。

证书过期,Equifax错过76天的违规行为

如果没有过期的数字证书,Equifax会发现2017年的攻击很快就会危及数百万人的个人信息。在证书到期后的十个月内,Equifax无法检查通过其自己的网络运行的流量。反过来,这导致它错过了76天的高调漏洞,直到最终取代证书并恢复检查。

思科允许其SSL证书过期

在2018年上半年,思科有一个问题取代了常规的SSL证书到期,思科有一个根到期。Roots证书是SSL / TLS信任模型不可或缺的一部分。根证书用于签署和颁发中间人和最终用户SSL证书。在这种情况下,根连接到Cisco的一个VPN,这意味着它发给最终用户的每个证书也可能变得无效。幸运的是,这似乎没有发生,用户只是被阻止生成新的终点。

Pokemon Go让它的SSL证书到期

Niantic似乎与Pokemon Go有点复苏,但在2018年1月,游戏遇到了破坏游戏的错误和一连串其他问题,其中一个问题是其SSL证书的到期。停电很短暂,持续了大约半个小时,但当时Niantic丑闻更多了。

英国保守党允许其SSL证书到期

一般而言,保守党都知道英国在加密方面并没有很高的声誉。前任内政大臣安布· 拉德(Amber Rudd)很快将成为前总理特蕾莎·梅(Theresa May),尽管显然对此并不十分了解,但他们都公开批评加密。因此,具有讽刺意味的是,2018年1月8日,保守党的网站在SSL证书到期后出现故障。 可以说它Brexpired。

LinkedIn让其SSL证书过期

2017年12月初,LinkedIn允许其SSL证书过期。它击败了美国,英国和加拿大的LinkedIn网站。作为Venafi的副总裁,Kevin Bocek当时说:

LinkedIn的错误证明了为什么控制证书是如此重要。虽然LinkedIn将有数以千计的证书可以跟踪,但昨天的停电显示它只需要一次到期就会导致问题。为了保持控制,组织应该寻求自动发现,管理和替换其网络上的每个证书。

LinkedIn通过DigiCert组织验证的SSL证书快速解决了问题。

时代华纳让其邮件服务器的SSL证书到期

在2017年初,时代华纳加强了愚蠢的监督,让其电子邮件服务器的SSL证书到期,为其客户提供一些有关纠正这种情况的同样愚蠢的建议:

...进入您的电子邮件设置并禁用SSL将停止弹出消息并重新启用网络邮件提取。 这在很多层面都很糟糕。让我们从这个可怕的建议开始。

不要禁用SSL。

公司有责任让其SSL证书到期,以便在短时间内更换它。改变他们的设置以弥补公司的疏忽并不是客户的工作。谁还在使用时代华纳作为电子邮件服务呢?

如何避免让SSL证书过期

企业业务在证书管理方面存在一系列不同的问题。虽然中小型企业(SMB)可能只拥有一个或几个证书,但企业公司拥有庞大的网络,无数的连接设备以及更广泛的覆盖范围。在企业级别,允许SSL证书过期通常是监督的结果,而不是无能。

办理SSL证书的CA机构会在过期前90天,从设定的时间间隔发送到期通知。确保将这些提醒设置为发送到通讯组列表而不仅仅是单个人。获得证书时使用的联系人可能在到期时不在那里。

确定在到期日期临近时升级提醒的正确渠道。例如,在90天内,您可能只想将通知发送到您的通讯组列表。在60天时将其发送到您的发行列表和您的系统管理员。在30天内,您将其发送到列表和系统管理员,现在您的IT经理也会被中断。

找一个好的证书管理平台。企业业务面临的最大挑战之一是可见性。如果您看不到它们,则无法替换过期证书。我们试图保持供应商不可知,很多CA机构都拥有巨大的平台,可以帮助企业在整个基础架构中查看和管理数字证书。此外,请确保您定期登录,以便随时了解续订时间。

确定您要使用的CA,然后设置CAA记录以限制谁可以为您的域发布。这将有助于消除发布新流氓证书的可能性。您可以将PKI整合到一个平台中的越多,就越好。 说到流氓证书,找到一个好的扫描工具,然后通过检查各种CT日志定期使用它来查找和跟踪流氓证书。

忘记更新或替换过期的SSL证书可能会发生在任何人身上。但是有很多工具可以帮助减少造成的风险。正如我们所讨论的那样,关键在于自动化,或者至少具有可见性和良好的沟通渠道,因此您可以在即将到期之前取得成功。