3月3日,谷歌在其“Move Forward, Together”栏目中,称已向CA/B论坛发起了投票提案,建议将公共TLS(也称为SSL)证书的最长有效期从398天减少到90天。值得注意的是,即便CA/B论坛没有通过这一提议,谷歌也可以单方面强制行业改变,将较短的有效期作为Chrome根程序的要求。
这主要是因为浏览器控制自己的根程序需求,不必等待CA/B论坛的正式规则更改。而考虑到Chrome的市场份额,如果谷歌坚持这一改变,90天的上限将成为每一个商业公共证书机构都必须遵循的事实上的标准。据预测这一新变化很大可能将在2024年底生效。
90天有效期对IT运维的影响
90天有效期的SSL证书对IT运维的影响相当大。传统上,IT运维只要一年更新一次SSL证书即可,现在是最长90天就要更新一次,这个过程涉及到识别即将到期的证书、获取新证书和部署新证书等。考虑到大多数企业都有很多证书,而且这个数字还在快速增长,手工的方式管理SSL证书将会是一项复杂而耗时的任务,同时也容易出差错。
如果不能有效的应对90天效期的**SSL证书**,未来业务系统因为SSL证书过期导致的业务中断将会层出不穷。
证书部署的自动化成未来大势
锐成建议尽快实现SSL证书的自动化管理,并对SSL证书实际部署结果进行监控,确保业务正常进行。
- 自动化SSL证书申请和部署:能够自动跟踪和更新证书、减少人为错误和证书过期风险的自动化证书管理工具。
- 定期的SSL证书监控:可以对SSL证书部署情况、到期信息、安全漏洞、合规性等进行自动监控,并以多种方式发送安全预警通知,确保SSL证书运维零事故。
SSL证书自动化部署方案
• 基于API的证书自动化部署
可以通过API进行SSL证书申请、通过验证、下载证书并自动化部署SSL证书到业务系统中,这种方式对现有系统的影响最小,同时让渠道对证书部署方式有最大的把控力,该方案在建站公司、运维软件、CDN服务商以及企业大客户中已经大量应用。
• 基于ACME服务的证书自动化部署
对于部分不具备API的对接能力的客户,可以考虑使用ACME服务进行证书的自动化更新和部署。不过基于ACME服务的证书自动化更新方案要求在服务器新安装ACME客户端,同时更新证书的环境也是相对标准的Ngnix,Apache,IIS等环境,有一定的局限性。
SSL证书监控服务
考虑到自动化部署可能存在的异常,或者在配置自动化部署节点时,可能会漏配置一些节点,我们建议在实际运维环境中增加SSL监控服务,满足不同层级的数据安全需求。
如果您对即将到来的更短的 SSL 证书生命周期感到担忧,可以部署一个全面的 SSL 证书管理策略,以更好地应对这种变化。如您有其他疑问或需求,请联系我们获得支持。
