76% 的安全领导者认识到迫切需要缩短证书有效期来提高安全性。然而，许多人觉得自己还没有准备好采取行动，77% 的人表示，改为使用 90 天证书将意味着不可避免地会出现更多中断。

谷歌计划缩短 TLS 证书有效期

81% 的安全主管认为，谷歌提出的将TLS 证书有效期从 398 天缩短至 90 天的计划将加剧他们在管理证书方面面临的现有挑战。

压倒性的 94% 的受访者担心这些变化的影响，73% 的人表示这可能会造成“混乱”，另有 75% 的人表示这甚至可能降低他们的安全性。

最近，CA 机构 Entrust 颁发的证书被禁止信任，这只是 CA 市场混乱的最新例证。事实上，88% 的安全领导者表示，他们的组织受到了 CA 证书撤销的影响。其中，45% 的组织不得不部署额外的资源来查找、撤销和替换证书；38% 的组织遭遇了安全事故；31% 的组织遭遇了与证书相关的中断。

随着迁移到新的抗量子加密算法的势头越来越大，64% 的安全领导者表示他们“害怕董事会询问他们的迁移计划的那一天”。78% 的人表示，如果能够破解加密的量子计算机被制造出来，他们会“到时候再处理”，60% 的人认为量子计算不会对他们现在或未来的业务构成风险。此外，67% 的人不理会这个问题，称它已经成为一种“炒作末日”。

我们最近经历了全球最大的 IT 中断——CrowdStrike更新中断是一个错误，也是意料之外的。安全团队知道，当新的中断发生时，他们将面临重大风险，而他们最讨厌的就是：更多的证书即将过期。

转向更短的证书生命周期可显著降低这些风险，这是必要的举措。然而，这也可能给安全团队带来更多混乱——而且 Entrust 在 Chrome 中不受信任，这是一个双重打击。

煤矿中不仅有金丝雀；每个云、虚拟机和 Kubernetes 集群中都有土拨鼠。这不仅仅是一个软件更新供应商；这是我们所知道的整个互联网。

90 天证书挑战

90 天证书的推出意味着组织需要比现在更频繁地更新证书，即所需工作量增加五倍。

调查显示，这对企业来说将是一个重大挑战，原因有二：

部署延迟——只有 8% 的安全主管在整个企业中完全自动化 TLS 证书管理的所有方面，近三分之一 (29%) 仍依赖自己的软件和电子表格来管理问题。因此，部署证书平均需要 2-3 个工作日（21.75 小时）。

TLS 转型——由于近年来技术采用的增长，组织使用的 TLS 证书数量一直在稳步上升。95% 的安全领导者表示，数字化转型计划在过去一年中使其组织对 SSL/TLS 的使用平均增加了 36%。因此，目前平均每个企业管理 3,730 个 TLS 证书——预计到 2026 年，这一数字将增加 39%，达到 5,000 多张。

量子领域也存在类似的挑战。67% 的受访者认为转向后量子密码学将是一场噩梦，因为他们不知道所有密钥和证书在哪里。从这些转变带来的具体挑战来看，迁移的潜在速度、规模和成本以及缺乏内部技能和知识被列为三大问题。然而，86% 的人表示，控制密钥和证书的管理是应对未来量子风险的最佳方式。

好消息来了：从 90 天证书到替换不受信任的 CA，再到过渡到后量子时代，安全团队如今拥有了几年前还不具备的机器身份安全功能。安全团队现在可以在一个控制平面上获得证书生命周期管理 (CLM)、PKI 即服务和工作负载身份颁发者。

确保 90 天证书有效期不会造成严重破坏的业务案例很简单。我们知道问题即将到来，与上次重大 IT 中断不同，我们通过机器身份安全实施的自动化让我们为后量子时代、下一次 CA 不信任以及在开发人员选择的任何云中运行做好了准备。