技術編輯:徐九丨發自:思否編輯部
不久前,微博有了一個技術圈兒的熱搜。
在同一時間,大量特斯拉車主紛紛反映 APP 出現大面積當機,手機鑰匙無法獲取車輛資訊,行車過程中無法點亮車內儀表盤和中控屏只能“盲開”。
在緊急修復之後,特斯拉官方表示原因系 APP 域名證書(SSL 證書)過期,導致 APP 無法連線。這樣一個推崇技術的企業竟然出現這種低階的技術問題,難免讓人唏噓。
但其實 SSL 證書過期事件,曾經在眾多大型企業甚至國外某些政府機構網站均出現過。據《企業數字證書管理安全調查 2019》權威報告統計,74% 的組織經歷過停機或由於證書過期導致的停機, 每個組織的平均損失超過 1100 萬美元。
為什麼大家連一個簡單的證書認證都搞不好?SSL 證書對企業來說到底有什麼用?
一、從 HTTP 協議的致命缺陷說起
HTTP 協議有一個致命缺陷,即這是一種沒有加密的明文傳輸協議,不能安全的傳輸敏感資料資訊。而發明 SSL 協議的初衷,就是為了解決 HTTP 的這一問題。和 SSL 經常一起出現的 TLS,是將 SSL 協議標準化之後的名稱,因此經常有人將其並列稱為 SSL/TLS。
SSL/TLS 證書作為資料安全和隱私保護的安全標籤,在網路中被大量使用,但近幾年來,網際網路安全事件仍然頻發,究其原因,一是因為企業安全意識疏忽導致的證書過期,另一個原因是此前證書的壽命過長,大部分企業不會配合進行頻繁的證書更新。
為了避免這一問題,從 2020 年 9 月 1 日開始,蘋果、谷歌、Mozilla 的瀏覽器和裝置將對有效期超過 398 天的新 TLS 證書顯示錯誤。
要知道最早的證書壽命是 8 年,後來慢慢縮短為5年、3 年、2 年,這次縮短為一年左右,無疑為企業原本就繁瑣困難的證書管理再次增加了難度。
那麼安裝 SSL/TLS 證書真的有必要麼?不安裝又會出現什麼問題?
二、企業必須安裝 SSL/TLS 證書麼?
毫無疑問,證書有效期期縮短會增加證書使用者更新證書的頻率。企業需要每年進行一次證書申請,而證書申請一般要走商務合同、經過層層稽核。過程繁瑣且週期長,若是疏忽忘記更新,還會導致證書過期,從而為企業帶來利益和品牌的雙重損失。
但這個證書不裝可能還真不行。
首先在國家層面,一直有相應的法律法規要求進行相應的資料加密。在今年新修訂的《資訊保安技術網路安全等級保護基本要求》等系列國家標準中,更是明確了網路安全體系承建者、網路運營者等各方對於網路安全的責任和義務。
此外,對於網站自身來說,安裝了安全證書後可以有效的防止黑客的竊取和篡改,降低企業的業務風險。網站在安裝相應的證書後,在瀏覽器位址列會顯示一個「安全鎖」,告訴使用者這個網站是經過認證的。
一些高階證書還支援在位址列顯示公司的名稱,讓訪客明確知道這是企業官網,可以放心訪問。並且,進行 SSL/TLS 證書認證,對於企業的 SEO 優化也是有幫助的。
三、企業的痛點要如何解決?
既然安裝 SSL/TLS 證書勢在必行,並且也對企業有著實實在在的好處,為什麼企業還要這麼發愁?具體有哪些痛點需要解決?
首先,證書的管理就是一件麻煩事,從簽發到續簽、替換和吊銷都有著繁瑣的過程;其次,證書的數量與種類多種多樣,個人身份證書、企業或機構身份證書、支付閘道器證書、伺服器證書、安全電子郵件證書、個人程式碼簽名證書...很多企業壓根就搞不清自己需要安裝哪些、需要安裝多少。
此次隨著證書壽命的進一步縮短,更是增加了企業證書管理的難度。但其實企業的安全證書管理是有捷徑的,目前市面上最專業的證書自動化管理平臺,已經可以提供自動化交付的相關功能,比如:
- 多年期證書服務
- 快速自動驗證
- 整合 ACME 協議部署
- 企業組織資訊預稽核
- ...
四、業內領先的自動化平臺有哪些能力?
亞洲誠信是亞數資訊科技(上海)有限公司應用於資訊保安領域的品牌,專業為各行業提供國際知名品牌數字證書及網路資訊保安管理解決方案。
根據 NetCraft 資料顯示,亞洲誠信旗下的 TrustAsia SSL 證書在國內品牌證書的市場佔有率為第一。目前其客戶覆蓋電子商務 、網際網路金融、銀行及政府機構、保險證券、醫療機構、系統與軟體開發商等各個領域。共申請 30 餘項軟著,4 項專利等技術成果。
我們以 CertCloud 為例,來看看證書自動化管理平臺具體可以提供哪些服務於能力:
1. 多年期證書自動化交付
這項功能在新政策的實施後顯得更為實用。藉助 CertCloud 服務,無需企業手動操作,可以自動延長證書有效期,避免因遺忘證書到期時間而未及時更新證書。
2. 簡化、自動化管理證書生命週期
前面我們提到,企業安全證書的管理其實是一個非常繁瑣的過程,CertCloud 可以幫助簡化、自動化管理證書生命週期的每一階段(從簽發到續簽、替換和吊銷),並且還可以幫助企業通過資訊預稽核,大幅縮短 OV/EV 證書的簽發週期,快速獲取 OV/EV 證書。
3. 良好的適配性
很多企業需要部署很多不同的環境,而CertCloud 可以適配多類部署環境,支援ACME 、命令列 、各大雲服務( 阿里、騰訊、華為等)、主流 WEB SERVERS(Nginx/Apache/IIS 等)、閘道器裝置(F5/SSLVPN 等),以及 OPENAPI,一站式的幫助企業解決安全證書的問題。
4. 自定義私鑰輪換週期
很多時候的安全風險,是因為私鑰不進行定期更新導致的。CertCloud 可以提供定期更新私鑰的功能,使用者可以自定義更換週期,從而滿足不同安全需求。
5. 密碼敏捷性
自動化工具快速應對安全問題,藉助ACME、OPENAPI、命令列工具快速簽發證書證書更新私鑰。
6. 安全評級管理 + 監控告警
持續的監控證書狀態的功能,精確定位問題,異常情況實時告警,避免人工監控疏忽帶來的安全風險。
7. 證書詳細安全報告
一鍵掃描證書的漏洞和弱配置避免產生安全問題(內建 MySSL.com 提供支援),可以在任何時刻檢視網路安全狀態的分析和報告。
8. 安全策略
通過多因素身份驗證和證書請求的 IP 地址限制以及專案隔離來提高安全性,規避黑客攻擊的風險。
這些功能都是企業在證書管理中的痛點與難點,如果可以藉助專業的平臺實現自動化管理,將大大降低企業的管理成本與風險。
從更大的角度來看,現在可能是企業開始考慮自動化證書管理的好時機,尤其是對於管理數十個公共可信網站證書的大型組織。
隨著技術的發展與完善,自動化運維已經成為了發展趨勢,特別是涉及到業務安全以及企業利益的時候,介入專業的平臺或者工具無疑是降本增效的好策略。
亞洲誠信從成立以來,一直致力於 SSL 證書在中國的應用和普及。亞洲誠信 CEO 翟新元作為業內最早的技術專家之一,曾主導了雲端自動化 SSL 證書模式的實現,使 SSL 證書從傳統的交付方式革新到雲端一鍵開啟 HTTPS 的精簡模式,為中國站點應用 HTTPS 安全加密傳輸的普及也做出了廣受業界認可的貢獻。
在資料即資產的年代,沒有什麼比資料安全更為重要。
開放和信任的網際網路是全球性的、相互合作的網路世界,其基礎是信任機制。尤其在新的國際形勢和國內進一步的規範要求下,企業更加需要確保網路安全、資料隱私安全,而亞洲誠信也在致力於讓這一「老大難」的問題,變得更加簡單、便利。
-完-