3月3日,谷歌在其“Move Forward, Together”栏目中,称已向CA/B论坛发起了投票提案,建议将公共TLS(也称为SSL)证书的最长有效期从398天减少到90天。值得注意的是,即便CA/B论坛没有通过这一提议,谷歌也可以单方面强制行业改变,将较短的有效期作为Chrome根程序的要求。
这主要是因为浏览器控制自己的根程序需求,不必等待CA/B论坛的正式规则更改。而考虑到Chrome的市场份额,如果谷歌坚持这一改变,90天的上限将成为每一个商业公共证书机构都必须遵循的事实上的标准。据预测这一新变化很大可能将在2024年底生效。
90天有效期对IT运维的影响
90天有效期的SSL证书对IT运维的影响相当大。传统上,IT运维只要一年更新一次SSL证书即可,现在是最长90天就要更新一次,这个过程涉及到识别即将到期的证书、获取新证书和部署新证书等。考虑到大多数企业都有很多证书,而且这个数字还在快速增长,SSL证书,备案CDN,网站服务器入侵,网站服务器防护,DDoS攻击,手工的方式管理SSL证书将会是一项复杂而耗时的任务,同时也容易出差错。如果不能有效的应对90天效期的SSL证书,未来业务系统因为SSL证书过期导致的业务中断将会层出不穷。
证书部署的自动化成未来大势
锐成建议尽快实现SSL证书的自动化管理,并对SSL证书实际部署结果进行监控,确保业务正常进行。
1. 自动化SSL证书申请和部署:能够自动跟踪和更新证书、减少人为错误和证书过期风险的自动化证书管理工具。
2. 定期的SSL证书监控:可以对SSL证书部署情况、到期信息、安全漏洞、合规性等进行自动监控,并以多种方式发送安全预警通知,确保SSL证书运维零事故。
SSL证书监控服务
考虑到自动化部署可能存在的异常,或者在配置自动化部署节点时,可能会漏配置一些节点,我们建议在实际运维环境中增加SSL监控服务,满足不同层级的数据安全需求。
如果您对即将到来的更短的 SSL 证书生命周期感到担忧,可以实施一个全面的 SSL 证书管理策略,以更好地应对这种变化。
原文作者:RacentYY
转自链接:https://zhuanlan.wangan.com/p/11v746a5ac7fd432
Copyright © 2013-2019 wangyuyun.com 北京东方网域新兴科技有限公司 京ICP备05062133号-13
增值电信业务经营许可证:京B2-20140042号 域名注册服务批文号:信部电函[2005]263号 营业执照统一社会信用代码:911101077776591113 京公网安备11010502030239号 ICP备案号京ICP备05062133号-13