SSL证书过期会导致什么严重后果?如何防止这类后果发生?
避免 SSL 证书中断对企业来说至关重要。 了解如何防止 SSL 证书过期和其他错误以及如何续订证书。
什么是 SSL 证书中断错误?
SSL(安全套接字层)和 TLS(安全传输层)是加密协议,旨在通过 Internet 在客户端和服务器之间提供安全的通信通道。 SSL 是较旧的加密协议,而 TLS 是相对较新的版本。拥有 SSL/TLS 证书的目的不仅在于提供身份验证,还在于建立与客户端浏览器通信的远程服务器的身份。
当 Web 浏览器无法验证站点上安装的证书时,会发生 SSL证书错误。浏览器不会连接请求者,而是会显示一条错误消息,警告该站点可能不安全。这通常发生在证书过期时。根据行业标准,SSL 证书的有效期不能超过 398 天。这意味着每个网站都需要至少每两年更新或更换一次 SSL 证书。
请注意,SSL/TLS 证书提供三个级别的验证:
- 域名验证(DV):CA 验证申请人是否拥有特定域名的权利(通常通过电子邮件验证)。无需审查其他信息,几分钟内即可颁发 DV 证书。
- 组织验证(OV):CA 不仅会验证申请人对特定域名的权利,还会在基础层面对申请人的组织进行额外调查。此信息显示在证书上以增强站点最终用户的信任。
- 扩展验证(EV):CA 验证企业所有权和可接受的公司文件,以及申请人需要提供的所有权。除了确保申请人拥有特定域的权利外,还会对公司进行彻底调查,并将此信息显示在证书上。此外,安全挂锁显示在浏览器的网址中,因此用户可以获得额外的保证,可以安全访问该网站。
当您的 SSL 证书过期时会发生什么?
Web 服务器停机代价高昂。根据 Information Technology Intelligence Consulting 的第 11 次年度停机时间每小时成本调查,超过 98% 的员工人数超过 1,000 人的大型企业表示,平均每年停机一小时给他们的公司造成的损失超过 100,000 美元。单台服务器每分钟停机时间为 1,667 美元,当停机时间影响到 10 台服务器和关键业务应用程序或数据资产时,每分钟增加到 16,670 美元。
身份不明、过期的 SSL 证书会导致多个进程中断,从屏幕上的简单错误消息到由于协议错误而突然终止服务。 SSL 证书问题和中断的其他原因包括:
- 该证书不是受信任的证书;即,它不是由证书颁发机构(CA) 进行数字签名的。浏览器只信任来自其证书列表中受信任组织的证书,而不信任不受信任的站点。该解决方案可能需要一个中间证书来确定该网站的证书是由有效的根 CA 颁发的。
- 托管站点的服务器(或多个服务器)上的证书安装未正确完成。
- 相关 URL 发生名称不匹配错误。例如,域名Example Domain可能包含在证书中,而Example Domain则不同,可能不会注册为 SSL 证书的一部分。在这些情况下,SSL 证书需要保护多个子域名以及根域名。
- 该站点缺少专用 IP 地址。
- 安全页面(HTTPS) 包含从不安全页面 (HTTP) 加载的元素。不安全页面上的元素可能是图像、iframe、Flash 动画或 JavaScript 片段——提示浏览器显示错误消息而不是加载页面。这些混合内容错误的实例会危及页面的安全性,为网络犯罪分子的路径攻击敞开大门。
- 当您作为网站所有者尝试在您的 Web 服务器或 CDN 上安装证书,但未正确提供相关证书详细信息时,可能会出现无效的 SSL 证书或中间证书错误。
没有 SSL 会发生什么?
如果没有 SSL 证书提供的加密,您的站点及其收集的数据将面临数据泄露或网络威胁。此外:
- 搜索引擎会打击不安全的网站,阻止用户通过地址栏访问并降低其网页在 Google 和其他搜索引擎中的 SEO 排名。
- Google Chrome、Firefox 和其他浏览器发出有关不安全站点的警报,要求所有网页都通过 SSL 加密,无论是否在这些网页上发生交易或提供的内容类型如何。任何不在 https 下的页面都会在浏览器界面顶部自动收到不安全警告。
- 用户可以看到错误消息,例如 ERR_SSL_PROTOCOL_ERROR。错误消息的涌入削弱了访客和客户的信心,危及企业品牌。
过期证书的风险使得企业必须考虑他们如何管理他们的证书。
手动证书管理的影响
未能更新或替换过期的 SSL/TLS 证书意味着与该机器的任何通信都将停止工作。了解每个证书的安装位置、谁控制对该机器的访问以及证书何时到期对于业务连续性至关重要。
拥有分布式证书创建和管理团队的组织(例如 Web 托管提供商)会很快发现自己要管理数十万个证书,并且每天都会创建更多证书。缺乏集中所有权、自动化,更重要的是,缺乏组织可见性,为人为错误和未识别的 SSL 证书错误奠定了基础。
即使在证书到期日期的电子邮件通知的帮助下,手动管理证书及其续订的企业仍面临着由于所有权缺口、人为错误、假期或员工周转造成的证书过期的风险。当在这种环境中发生漏洞且时间紧迫时,几乎不可能通过故障排除来降低普遍存在的风险。
致力于主动监控和管理是防止 SSL 证书中断的关键一步。
如何通过自动化生命周期管理避免 SSL 证书中断
现在是发现、控制和自动化您环境中所有数字证书生命周期的最佳时机。首先是选择正确的证书颁发机构。
一个简单的事实是,合适的 CA 合作伙伴可以分担一系列对业务至关重要的日常任务,而大多数 IT 团队根本没有时间、资源或专业知识来执行这些任务。当可信证书的所有其他好处与 CA 提供的服务一起添加时,该投资的回报就会增加。
WoTrus[1]提供证书解决方案,使企业能够敏捷高效,同时保持对其环境中所有安全证书的控制。WoTrus支持通过行业领先的协议、API 和第三方集成自动安装、撤销和续订 SSL/TLS 和非 SSL 证书。所有 WoTrus TLS 证书都启用 256 位加密,这是可用于 Web 连接的最强加密。
何时以及如何更新我的 SSL 证书?
使用以下步骤更新您的WoTrusSSL 证书:
第 1 步:如果您是现有客户,请登录您的帐户。 如果您的证书将在 90 天内到期,您将在 SSL 证书选项旁边看到续订选项。 如果您是新客户,在选择正确的 SSL 证书后,单击立即续订。
第 2 步:填写表格并付款。
第 3 步:生成证书签名请求 (CSR)。
第 4 步:将 CSR 代码(公钥)发送给作为您的证书颁发机构的 WoTrus。
第 5 步:完成验证和安装过程。
确保您的 SSL 证书是最新的——立即探索WoTrus的 SSL / TLS 证书。