上週(當地時間2月19日),在斯洛伐克舉行的CA/瀏覽器(CA / Browser)論壇會議上,蘋果公司宣佈:為了提高網路安全性,從2020年9月1日開始,任何有效期超過 398 天的新網站證書將不會受到Safari瀏覽器的信任,而是會被拒絕。另外,在截止日期(2020年9月1日)之前頒發的較舊證書不受此規則的影響。
這項政策的釋出意味著使用在截止時間點之後使用兩年期SSL/TLS證書的網站將在蘋果系統的瀏覽器中引發隱私錯誤,所有證書需要每年進行續簽,以保持Safari的信任。(注意:2020年9月1日前簽發的所有SSL/TLS證書不受此政策影響)
蘋果釋出這項政策的目的是通過確保開發者使用最新加密標準的證書來提高網站的安全性,並減少被忽視的舊證書的數量,這些證書有可能被盜竊,並被用於網路釣魚和驅動器惡意軟體攻擊。如果研究人員或不法分子能夠破解SSL/ TLS標準中的密碼,短期證書將確保人們在大約一年內遷移到更安全的證書。
瀏覽器巨頭正逐步縮短證書有效期
2019年8月,谷歌在CA/Browser Forum 會議上就提出將 HTTPS 證書的有效期從 27 個月縮短到 13 個月的議案,最終,CA/Browser Forum 經投票否決了這項提案,SSL證書最長有效期仍為2年。
據悉,蘋果,谷歌和CA/Browser的其他成員考慮縮短證書有效期的問題已有一段時間,他們希望通過拒絕舊的安全證書,迫使網站管理員使用最新的加密技術更新他們的證書,而不是使用舊的、不那麼安全的證書,這還將有助於減少管理員不知道的可能已被破壞的證書的影響。
根據 W3Counter 的最新資料顯示,截至2020年1月,Safari瀏覽器的市場份額為17.7%。僅次於Google Chrome(58.2%)。
證書管理將面臨巨大挑戰
縮短證書的有效期,通過增加證書替換的頻率,導致使用加密證書的網站所有者和企業的管理週期變得更加複雜,對許多依賴數字證書保護系統的公司來說,將帶來巨大的成本,極大加重了企業運維管理人員的負擔,SSL/TLS證書過期所造成的後果將會不堪設想!
SSL/TLS證書過期的不利影響 :
△ 損害企業網站的SEO排名;
△ 網站處於高安全威脅:資料和敏感資訊被竊取、被篡改、被中間人攻擊;
△ 網站公信力、品牌形象帶來極大的負面影響;
△ 證書到期導致的企業業務意外中斷,無法正常運營,承擔資金損失;
△ 不當的證書/金鑰管理導致的稽核失敗或違規;
圖:Safari瀏覽器網站證書過期樣式
如今,證書管理正成為企業的主要負擔。企業規模越大,管理問題就越嚴峻。
如何有效進行證書管理?
不知道證書何時過期?不知道有多少證書和金鑰?如何避免證書管理的痛點?蘋果Safari證書有效期政策生效後,企業將如何應對?
亞洲誠信建議:您可以通過優質的證書管理平臺,依靠自動化管理來協助證書的部署,更新和生命週期管理,以減少人員開銷和隨著證書更換頻率的增加而出現錯誤的風險。
證書智慧管理軟體(CertManager)應運而生
CertManager是業內領先的集證書自動申請、部署、檢測、發現、監控、管理、告警、更新和證書品牌切換於一體的證書全生命週期智慧管理系統。按照美國國家標準與技術研究院(NIST)制定的TLS伺服器證書管理行業標準草案設計,通過企業資訊預稽核機制,以及CertManager突出的部署環境適配能力,提供OV/EV證書一鍵申請、自動部署、證書品牌快速切換等。
提供一站式證書管理閉環服務,助力企業使用者安全合規的管理SSL證書和私鑰。可有效規避因證書過期而產生的資金流失、品牌受損等後果。統一管理閘道器/負載裝置、雲服務、 WebServer的證書部署和更新,並提供 OpenAPI 與運維繫統對接。同時助力企業服務快速上線,降低人工成本,規避人為失誤導致的生產事故。
✔ 證書自動簽發
企業資訊預審機制,實現 OV/EV 證書自動簽發、快速獲取
✔ 證書部署
統一管理閘道器裝置、雲服務、 WEB SERVERS 的證書部署和更新,並提供 OPENAPI 與運維繫統對接
✔ 證書檢測
CAA 統計報告、DN/SAN 合規報告、弱金鑰統計
✔ 私鑰保護
白盒演算法加固、keyless、安全閘道器、短證書四種方式可選,保護私鑰的安全性
✔ 監控告警
持續監控證書狀態,告警異常情況
✔ 品牌切換
當 CA 信任受損,可快速切換證書品牌
✔ 使用者管理
基於角色的訪問控制,管理員、操作員和審計員
✔ 證書發現
對於企業已經部署的證書,可以掃描企業網段,並管理發現的證書
為幫助企業使用者從容應對此次蘋果Safari瀏覽器的證書有效期政策,亞洲誠信開通7*24小時線上諮詢服務,為您答疑解惑,並提供高效安全的解決方案。