SSL证书有效期将缩短为45天
最近全球互联网安全界的热点之一是苹果公司10月10日提出的缩短SSL证书有效期为45天的国际标准提案,笔者当时本想写篇文章说一说这事,但是最终还是决定等等,看看业界的反应后再讲这事。两个月过去了,这事在国外反映强烈,还在持续热议中。但是,国内好像一点反应都没有,甚至我同客户当面交流说起这事时,都没有什么大的反应,估计还是“狼还没有来”的心态。所以,笔者认为还是有必要写篇文章讲一讲这事。一、缩短SSL证书有效期已成定局,国际业界严阵以待
本文讲一下最新的情况,缩短SSL证书有效期为90天是谷歌去年3月份提出的,一年半后,苹果公司提出的方案是45天!这是一个阶梯式的缩短过程,计划花两年多的时间把现在的证书有效期的不超过398天逐渐缩短到45天,具体计划是:
(1)2025年9月15日 至 2026年9月14日,证书有效期缩短为200天
(2)2026年9月15日 至 2027年4月14日,证书有效期缩短为100天
(3)2027年4月15 日起,证书有效期缩短为45天
此提案比谷歌提出的一下子从398天缩短到90天稍微温和一点,有一个逐渐缩短的过程,但最终有效期比谷歌提出的90天还要少一半。45天有效期是什么概念?现在是一年申请和安装一次证书,如果缩短为45天,则是每个月都要申请和安装一次证书!估计到时候运维工程师就只能天天安装证书了,这就是为何全球IT运维工程师们都出来骂人的原因,有人质问苹果:In this proposal: Tell me you've never worked in IT without telling me you've never worked in IT. 这是网上流行的来自IT工程师的幽默语,笔者就不翻译了,大家自己体会吧。
也就是说,手动申请和安装SSL证书的时代将于明年9月15彻底终结!因为证书有效期缩短到200天,也就是每年至少要折腾两次,即使也只有少数网站已经无法手动完成了,也就是只剩下自动化这一条路了。即使有人说半年安装一次也能接受,则后年的9月15只能签发100天的证书了,每年至少要折腾4次,每个季度安装一次证书,则一定是不可能的了。是时候提前做好自动化证书管理的准备了。
该提案目前已经列入讨论日程中,提案通过的可能性有多大呢?那就要看苹果的决心有多大了。2020年谷歌、苹果和LE共同提议把SSL证书有效期从当时的825天(2年3个月)缩短为现在的398天(1年1个月),CA/浏览器论坛投票结果是提案没通过,因为大多数CA都投反对票。但是,苹果单方面决定只信任一年期证书,其他浏览器也跟进,使得这事即使投票没有通过也得到了执行,实现了SSL证书有效期从2年缩短到了现在的1年。所以,大家还是应该相信此事一定会到来,不是缩短为90天,而是最终缩短为45天!
为了对应这件大事,国际CA和国际领先的云服务提供商都已经行动起来了,DigiCert和Sectigo都推出了自己的SSL证书生命周期管理解决方案,DigiCert官网列出的SSL证书价格是按每域名每月多少钱,而Sectigo则是计划按域名每年收费,而不再是按张证书每年收费。全球领先的云服务提供商都已经全部支持ACME自动化配置SSL证书。最新的全球前八大SSL证书提供商排名和证书签发量如下图所示,全球有效的SSL证书数量为9.7541亿张,超过90%的SSL证书已经实现了自动化管理,这就是苹果和谷歌推动缩短SSL证书有效期的底气,至于有效期为90天还是45天就不是个问题了,只要实现了自动化,就可以实现任何有效期的自动化签发和部署了。
二、我国IT业界应高度重视,提前做好应对准备
鉴于目前我国在SSL证书标准方面没有话语权,并且目前99.99%的网站还是严重依赖于国际SSL证书,所以,我国必须高度重视这个影响到所有ZF网站、网银系统、各种关键信息基础设施是否能正常运行的SSL证书的国际标准的变化,提前做好应对之策,以避免到时导致这些重要的网站系统无法访问。
也许有人说:我国不是在推广普及国密SSL证书吗?如果普及了国密SSL证书是不是就没有这个问题了?不是的,为了保证国密HTTPS加密安全,国密SSL证书也应该同国际标准同步实施相应的证书有效期政策。
缩短SSL证书有效期是为了进一步提升HTTPS加密的安全,并为过渡到抗量子算法提前做好准备。唯一可行的解决方案是彻底放弃人工申请和部署SSL证书的传统方案,全面实现SSL证书的自动化申请和部署。对于我国正在推广的国密HTTPS加密改造,必须同时推动国密SSL证书的自动化申请和部署,建议所有国密改造方案都是直接一步到位的先进方案,自动化实现国密HTTPS加密,而不再采用传统的人工部署国密SSL证书和安装国密模块的方案。
这是一个关系到整个IT产业的大事,各种需要SSL证书实现HTTPS加密的应用都需要升级改造支持自动化证书管理,包括政务系统、网银系统、其他所有关键信息系统、SSL 加-速-器设备、WAF设备、WAF云服务、CDN服务、电子邮件服务、各种物联网设备、各种网关设备等等,否则到时候就会出现大量的系统由于SSL证书到期没有续期而导致中断服务,这件大事必须得到高度重视,并提前做好相应的充分的技术准备。
作者:CEO博客
页:
[1]