·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
🔄最新发布📃文档资料库🆔加群看共享切换到窄版
立即注册
DZ插件网»🏠首页 Discuz! 站长杂谈 SSL证书有效期将缩短为45天
返回列表 发布新帖

SSL证书有效期将缩短为45天

82 0
发表于 昨天 22:21 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
最近全球互联网安全界的热点之一是苹果公司10月10日提出的缩短SSL证书有效期为45天的国际标准提案,笔者当时本想写篇文章说一说这事,但是最终还是决定等等,看看业界的反应后再讲这事。两个月过去了,这事在国外反映强烈,还在持续热议中。但是,国内好像一点反应都没有,甚至我同客户当面交流说起这事时,都没有什么大的反应,估计还是“狼还没有来”的心态。所以,笔者认为还是有必要写篇文章讲一讲这事。


一、缩短SSL证书有效期已成定局,国际业界严阵以待


本文讲一下最新的情况,缩短SSL证书有效期为90天是谷歌去年3月份提出的,一年半后,苹果公司提出的方案是45天!这是一个阶梯式的缩短过程,计划花两年多的时间把现在的证书有效期的不超过398天逐渐缩短到45天,具体计划是:


(1)2025年9月15日 至 2026年9月14日,证书有效期缩短为200天

(2)2026年9月15日 至 2027年4月14日,证书有效期缩短为100天

(3)2027年4月15 日起,证书有效期缩短为45天

此提案比谷歌提出的一下子从398天缩短到90天稍微温和一点,有一个逐渐缩短的过程,但最终有效期比谷歌提出的90天还要少一半。45天有效期是什么概念?现在是一年申请和安装一次证书,如果缩短为45天,则是每个月都要申请和安装一次证书!估计到时候运维工程师就只能天天安装证书了,这就是为何全球IT运维工程师们都出来骂人的原因,有人质问苹果:In this proposal: Tell me you've never worked in IT without telling me you've never worked in IT. 这是网上流行的来自IT工程师的幽默语,笔者就不翻译了,大家自己体会吧。

也就是说,手动申请和安装SSL证书的时代将于明年9月15彻底终结!因为证书有效期缩短到200天,也就是每年至少要折腾两次,即使也只有少数网站已经无法手动完成了,也就是只剩下自动化这一条路了。即使有人说半年安装一次也能接受,则后年的9月15只能签发100天的证书了,每年至少要折腾4次,每个季度安装一次证书,则一定是不可能的了。是时候提前做好自动化证书管理的准备了。
该提案目前已经列入讨论日程中,提案通过的可能性有多大呢?那就要看苹果的决心有多大了。2020年谷歌、苹果和LE共同提议把SSL证书有效期从当时的825天(2年3个月)缩短为现在的398天(1年1个月),CA/浏览器论坛投票结果是提案没通过,因为大多数CA都投反对票。但是,苹果单方面决定只信任一年期证书,其他浏览器也跟进,使得这事即使投票没有通过也得到了执行,实现了SSL证书有效期从2年缩短到了现在的1年。所以,大家还是应该相信此事一定会到来,不是缩短为90天,而是最终缩短为45天!
为了对应这件大事,国际CA和国际领先的云服务提供商都已经行动起来了,DigiCert和Sectigo都推出了自己的SSL证书生命周期管理解决方案,DigiCert官网列出的SSL证书价格是按每域名每月多少钱,而Sectigo则是计划按域名每年收费,而不再是按张证书每年收费。全球领先的云服务提供商都已经全部支持ACME自动化配置SSL证书。最新的全球前八大SSL证书提供商排名和证书签发量如下图所示,全球有效的SSL证书数量为9.7541亿张,超过90%的SSL证书已经实现了自动化管理,这就是苹果和谷歌推动缩短SSL证书有效期的底气,至于有效期为90天还是45天就不是个问题了,只要实现了自动化,就可以实现任何有效期的自动化签发和部署了。

SSL证书有效期将缩短为45天


二、我国IT业界应高度重视,提前做好应对准备


鉴于目前我国在SSL证书标准方面没有话语权,并且目前99.99%的网站还是严重依赖于国际SSL证书,所以,我国必须高度重视这个影响到所有ZF网站、网银系统、各种关键信息基础设施是否能正常运行的SSL证书的国际标准的变化,提前做好应对之策,以避免到时导致这些重要的网站系统无法访问。
也许有人说:我国不是在推广普及国密SSL证书吗?如果普及了国密SSL证书是不是就没有这个问题了?不是的,为了保证国密HTTPS加密安全,国密SSL证书也应该同国际标准同步实施相应的证书有效期政策。
缩短SSL证书有效期是为了进一步提升HTTPS加密的安全,并为过渡到抗量子算法提前做好准备。唯一可行的解决方案是彻底放弃人工申请和部署SSL证书的传统方案,全面实现SSL证书的自动化申请和部署。对于我国正在推广的国密HTTPS加密改造,必须同时推动国密SSL证书的自动化申请和部署,建议所有国密改造方案都是直接一步到位的先进方案,自动化实现国密HTTPS加密,而不再采用传统的人工部署国密SSL证书和安装国密模块的方案。
这是一个关系到整个IT产业的大事,各种需要SSL证书实现HTTPS加密的应用都需要升级改造支持自动化证书管理,包括政务系统、网银系统、其他所有关键信息系统、SSL 加-速-器设备、WAF设备、WAF云服务、CDN服务、电子邮件服务、各种物联网设备、各种网关设备等等,否则到时候就会出现大量的系统由于SSL证书到期没有续期而导致中断服务,这件大事必须得到高度重视,并提前做好相应的充分的技术准备。

作者:CEO博客
我要说一句 收起回复
赞赏
回复

使用道具 举报

返回列表 发布新帖

回复
 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务

关于我们

关于我们 免责声明 应用市场 下载中心

服务支持

有问必答 优秀站点 常见问题 建站必看
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.118.193.20,GMT+8, 2024-12-13 04:04 , Processed in 0.306551 second(s), 77 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
 QQ客服返回顶部
快速回复 返回顶部 返回列表