SSL证书过期会发生什么情况?如何避免证书过期?

 

证书过期后会发生什么情况?赶快来看看吧

我们经常都会遇到这样一个问题,“证书过期后会发生什么情况?”或者换一种说法“如果不及时续订SSL证书会发生什么情况?”

答案是死亡。快速蒙羞而死。想知道Jeeves公司发生了什么吗?在死亡证明上,它的死因写着:“证书过期。”

那是互联网十分黑暗的一天……

好了,可能这有点夸张(显然不是真实的)。但证书过期可能会造成一些严重的后果。今天,我们将讨论当SSL证书过期后会发生什么情况,我们将列举几个臭名昭著的证书过期的例子,我们甚至将深入探讨如何避免SSL证书意外过期。

让我们来逐一说明吧。

SSL证书过期后会发生什么情况?

让我们首先来回答我们之前所提出的问题,然后再深入探讨其中一些细节。SSL证书有助于加密传输中的数据。通过在网站的服务器上安装SSL证书,它能够让你通过HTTPS托管网站,并在你的网站和它的访问者之间创建一个安全的、加密的连接。这能够保障通讯安全。SSL还能对服务器进行身份验证。

然而,SSL证书不会永远有效。它们会过期。行业中有一个论坛证书机构/浏览器论坛(CAB论坛),它是SSL/TLS行业的实际监管机构。CAB论坛会指定证书机构在签发可信SSL证书时必须遵守的基线要求。这些要求规定SSL证书的生命周期不能超过27个月(2年+当你在之前的证书还有剩余时间并对它进行续订时,可最高设置的三个月)。

这意味着所有网站都需要至少每隔两年对其SSL证书进行续订或替换。因此,当SSL证书过期后会发生什么情况?情况可能是你所无法想象的。

当用户的浏览器抵达你的网站时,它会在一毫秒之内对SSL证书的有效性进行检查(它是SSL握手的一部分)。如果证书是过期的,它就会发出这样的警告:

想必你不需要我来告诉你,这一警告信息在本质上会对你的网站的浏览和销售造成致命打击吧——无论你使用的是何种价值衡量指标。尽管大多数浏览器确实提供了点击跳过警告信息的选项,但几乎很少有浏览器这么做。一般的互联网用户可能并不知道非常多有关网络安全的知识,但是他们知道两件事:计算机是昂贵的,而恶意软件会损害计算机。因此,如果他们的浏览器告诉他们网站不安全,或者在这种情况下他们的连接是不安全的,他们很有可能就会听从警告信息,不访问你的网站。

你难道不会吗?

SSL证书为什么会过期?

我们在之前讨论过这个问题,但现在还是让我们来简要介绍一下吧。正如我们在之前所提到的,SSL证书有两大作用:加密和身份认证。后者是导致证书过期的最大的原因。所有SSL证书都会一些东西进行身份验证,甚至域名验证证书还会对服务器进行身份认证。与所有形式的身份认证一样,你需要偶尔对你正在使用的信息进行重新验证,以确保它是准确的。

在互联网上尤其如此。事物时刻都在变化。网站的所有者在不断变化,各公司也在不断进行出售和收购。而SSL/TLS基于的是一个可靠的模式,而这个模式可能会被这些变化所破坏。因此,对于那些签发可靠证书的证书机构来说,他们要确保用来验证服务器和组织的信息是最新的、准确的,这一点十分重要。

让我们来看一个实际的例子。Circuit City早前是一家电子和电器零售商,但在大约10年前停业了。现在,假设它们的SSL证书并没有过期。Circuit City的资产全都出售或抛给了他人,如果有人获得了这个证书和为之签发的域名,情况会是怎样呢?现在他们可以利用这个域名做任何事(直到证书被撤回,但这完全又是另一种糟糕的情况了),并且所有人的浏览器都会看到这个网站,认为它是合法的。因此,那些没有意识到这家公司现在已经停业的人可能就会很容易地上当受骗。毕竟,这个证书是合法的。

这种情况不会发生。如果有什么东西的生命周期会缩短的话,那一定是证书的生命周期。SSL证书曾经可以签发最高5年的生命周期。然后缩短到了3年。然后又是2年——这还是一个折中方案,因为谷歌最初的提议是1年。为了,证书的有效期可能会缩短至3到6个月。Let’s Encrypt现在在签发3个月的证书。

然而,身份认证方面的因素并不是证书过期的唯一原因。证书的有效期越短,该行业尽快推出更新也就更容易。例如,几年前,SSL/TLS行业弃用了SHA-1散列算法。正如所有曾经购买过SSL证书的人所知道的,在进行生成的过程中你会选择散列算法。如果有效期为三年,在一些情况下,你可能必须等待长达39个月的时间,然后证书才会过期,达到截止时间,然后该网站才会弃用SHA-1。

缩短有效期能够解决这一问题。如果我们在之前淘汰了SHA-2而选择使用SHA-3(不用担心,这不会很快到来),你就可以为签发SHA-2证书设置一个截止日期,在27个月内(或者15个月,如果证书的有期限缩短至1年)系统便会会完全弃用SHA-2。

备受瞩目的SSL证书过期事件

如果你不小心忘记了及时进行续订,从而让你的SSL证书过期了,你可以得到一些安慰了,因为你并不是一个人。接下来,我们将列举一些备受瞩目的SSL证书过期事件。

思科让它的一个SSL证书过期了

近来思科有一个问题,这个问题就相当于常规的SSL证书过期——思科的一个根过期了。正如我们之前所讨论的,根证书是SSL/TLS可信证书的完整的一部分。根证书位于树顶的顶端,用于签发中间证书和终端用户SSL证书。在思科的这种情况下,根被依附到了思科的其中一个VPN,这意味着所有它向终端用户所签发的证书都可能变得无效。幸运的是,这种情况似乎并没有发生,因为思科阻止了用户生成新的端点。

这个问题在APEC-EM Release 1.6.3中得到了解决。

Pokemon Go让它的SSL证书过期了

游戏开发商Niantic似乎将重新打造Pokemon Go手游,但在今年1月,这款游戏遇到了一些导致游戏中断的致命的漏洞和一些其他的问题——这其中就包括过期的SSL证书。服务器崩溃十分短暂,仅持续了一个半小时,但当时Niantic受到了很多指责。

很高兴看到他们的命运似乎在好转。

英国保守党让它的SSL证书过期了

正如英国人所熟知的,Tories党派在加密方面的名声通常并不是很好。前国会下院领袖Amber Rudd和首相特雷莎·梅都曾公开批评过其网站的加密问题,尽管他们很明显并不太了解这方面的问题。

因此,2018年1月8日,当Tories的网站在因SSL证书过期而崩溃时,这是十分具有讽刺意味的。

领英让它的SSL证书过期了

2017年12月初,领英的一个SSL证书过期了。这使得领英在美国、英国和加拿大的网站都崩溃了。正如Venafi副总裁Kevin Bocek在当时所说的:

“领英的错误表明使证书处于控制中是十分重要的。尽管领英要跟踪成千上万个证书,但像昨天那样的崩溃事件表明,一个过期的证书就会造成诸多问题。为了使一切处于控制中,企业应当在其网络上寻求对所有单个证书的自动发现、管理和替换解决方案。”

领英利用DigiCert的组织验证证书快速地修复了这一问题。

如何避免让你的SSL证书过期?

当涉及到证书管理时,各规模大小的企业都存在一些不同的问题。尽管中小型企业(SMBs)可能只拥有一个或少量证书,但企业级别的公司通常都拥有庞大的网络,无数的联网设备,还有许多其他方面的事宜需要考虑。在企业级别,SSL证书过期通常都不是因为无能,而是监督不善的结果。

在应对这些挑战方面,我们与许多企业级别的公司合作过。以下是一些关于避免证书过期的可操作性建议。

无论你是从哪个CA或SSL服务机构购买的SSL证书,他们都会在过期前90天内以固定的时间间隔向你发送过期通知。确保你对这些提醒进行了设置,从而把它们发送到一个列表,而不只是一个个人。当证书过期的时候,获取签发的证书时所使用的联系人可能已经不在他们的岗位上了。也许他们得到了提升,或者只是喝了太多的酒,然后就被解雇了——不管是什么情况,你都需要确保这些通知能到达适合的人。

在过期日期临近时,确定恰当的渠道来升级提醒。例如,在90天的时间内,你可能只想将通知发送到列表。在60天内,你想将它发送到你的列表和你的系统管理员。在30天内,你想将它发送到列表和系统管理员,现在你的IT经理就会参与进来。

找到一个好的证书管理平台。企业业务面临的最大的挑战之一是可见性。如果你不能看见它们,你就不能更换过期的证书。我们试图不让供应商参与进来,但DigiCert、Comodo和Venafi都有许多巨大的平台,可以帮助企业在整个基础设施中查看和管理数字证书。另外,确保定期进行登录,这样你就可以在需要续订时做好准备。

决定你想要与哪些CA(s)进行合作,然后再设置CAA记录,以限制谁可以为你的域名签发证书。这将有助于消除签发新的流氓证书的可能性。你越是能把你的PKI整合到一个单一的平台,情况就会越好。

说到流氓证书,找一个好的扫描工具,然后定期使用它来查找和跟踪流氓证书。

因此,这就是SSL证书过期时可能出现的情况

任何人都有可能忘记续订或替换即将过期的SSL证书。但是有很多工具可以帮助其中降低存在的风险。正如我们所讨论的,关键是要拥有可见性和良好的沟通渠道,这样你就可以避免证书过期。

最终,一切都将达到自动化,我们甚至都不需要考虑这个问题,但现在这种情况还不能实现,所以再忍耐一下。

提交
还没有评论,快来抢沙发吧!
售前
支持
代理
合作
售后
支持