本月,零信科技国际SSL证书战略合作伙伴Sectigo在其官网博客专栏发布了2024年七大数字安全产品,笔者花了周末时间对这七大产品进行了翻译和解读。
今日解读**7:证书有效期将缩短,各组织应积极应对挑战。
正如 Sectigo 在这篇文章中提到的,90 天的 SSL 证书肯定会到来,但 2024 年何时到来仍然未知。 未雨绸缪是冷静应对未来变化的必由之路,因为业务系统的可靠不间断运行是企业的命脉,不容忽视。
业界应该如何应对这一挑战,Sectigo没有提出更多的解决方案,只是简单地提到了自己的单片机系统,这并不能解决中国面临的问题——普及商用密码来实现HTTPS加密。 中国应该如何应对缩短数字证书有效期的挑战,建议读者朋友们阅读笔者之前写的四篇博文——《90天SSL证书对策1:政务》《90天SSL证书对策2:企业》《90天SSL证书对策3:云平台》和《90天SSL证书对策4》: CA“,这四篇文章针对不同行业提供了详细的解决方案。
这里总结一下零信科技为解决缩短SSL证书有效期的挑战而提出的解决方案,即三个字——自动化,只有自动化才能彻底解决问题,手动申请和部署证书将变得不可能。 在世界范围内,在服务器上安装ACME客户端软件的自动化并不能解决中国面临的问题,中国需要普及商用密码https加密,只有两种解决方案:部署SM2 https加密自动化网关并启用SM2 https加密自动化云服务,网关或云服务会自动连接到零信云SSL系统, 自动化为**配置双算法SSL证书,自动实现HTTPS加密,采用自适应加密算法,满足用户国家密码合规、全球信任的应用需求。这是唯一可行的解决方案,而不是其中之一。
为了应对2024年SSL证书可能到来的情况,SSL证书的有效期将缩短到90天,而业主们能做的最好的就是在年底,在明年正式实施这项政策之前,做好投资预算, 他们一定会给大家一个足以完成转型的过渡期。并且业务系统不会因为无法应对 90 天的证书而影响业务系统的可靠和持续运行。
这场危机也是机遇,也是商机,为即将到来的90天证书危机提供了正确的解决方案,也是CA机构和云平台厂商赢得市场的契机。 因此,无论组织规模大小,都必须采取积极行动来应对这些挑战并变得更强大,确保**和业务系统不会因无法正确实施https加密而受到损害,并确保其能够在数字时代实现安全和可持续的增长。
随着年末的临近和新的一年的临近,零信科技愿与所有合作伙伴和用户一起,迎接即将到来的2024年的挑战,尤其是90天SSL证书的挑战,这是保障互联网服务和数据流通安全的最大挑战。
翻译>
数字证书的寿命将继续缩短。 随着领先的浏览器供应商继续推动缩短数字证书的寿命,企业在更新数字证书时将面临一个令人头疼的问题。 企业必须准备好重新评估长期处于阴影中的安全基本面的游戏规则改变者。
企业正准备迎接 2024 年的巨大转变,这可能会破坏其数字安全协议的基础。 各种数字证书的最长有效期正在减少,随着行业领导者越来越相信短期证书从根本上更安全,这一趋势将继续下去。 在未来的一年里,企业将在自动化解决方案上投入大量资金,以便为即将到来的证书有效期缩短做好准备。 随着支持所有数字流程和应用程序环境的数字证书的到期日期不断缩短,组织面临的重大挑战将是无法跟上所需的新证书更新的步伐。
作为一项即将采取的行动,主流根认证计划供应商将把TLS SSL证书的有效期缩短到90天。 谷歌浏览器在其“共同前进”*计划中明确表示,将强制缩短证书的有效期。 组织将面临升级其流程和系统以适应这些新的短期凭证的挑战。 即将到来的向更短证书到期日期的转变需要一种主动的自动化方法,迫使组织重新评估和重新调整其安全基础,以应对不断变化的应用程序环境。
一个基本事实是,缩短证书寿命的大门已经开始打开。
长期以来,SSL数字证书一直是通过互联网实现安全通信和数据传输的最安全基础。 此类证书由 CA 颁发,用于验证 Web 服务器的身份并确保用户连接到合法且安全的平台。 然而,形势瞬息万变,企业必须面对这样一个现实,即随着短期证书成为新常态,其所有关键证书的寿命将大大缩短。
传统的手动证书管理会损害组织的数字化状态,因为手动流程不足以处理短期证书的管理和续订。 生存期较短的证书更安全,因为证书错误、密钥盗窃或其他问题的风险窗口较小。 他们还通过在生产中更快地循环证书来创建更敏捷的加密系统。
但是,较短的证书需要更频繁的续订,如果这些续订没有正确和及时地进行,各种业务系统、应用程序或功能可能会停止工作或停止正常工作。 这可能导致服务中断、收入损失、违反服务协议、违规和降低客户满意度。
引领潮流的浏览器。
这场即将到来的剧变背后的驱动力是领先的浏览器供应商为增强安全性而做出的共同努力。 谷歌浏览器的提议是带头在行业内进行合作,以支持更严格的控制和对新出现的威胁做出更快的响应,其他主要浏览器可能会采取类似的政策。 虽然此举无疑旨在加强网络安全,但其连锁反应将导致组织修改其企业范围的证书政策。
及时、无缝地更换证书的需求至关重要,因为一旦新政策生效,这些安全风险的基本面将变得越来越具有挑战性。 毫不夸张地说,企业可能会因此而突然倒闭,这是一个严峻的现实,需要立即关注和战略规划。
除了浏览器推动缩短证书生命周期外,还有其他事件表明,缩短证书已成为网络安全的普遍趋势。 2023 年采用的 S MIME(安全多用途 Internet 邮件扩展)证书基线有史以来第一次要求将电子邮件证书的期限限制为两到三年,未来的工作预计将将所有 S MIME 邮件证书限制为两年,无一例外。 同样,主流的受信任根认证计划将根证书的有效期限制为 15 年,并计划弃用有效期更长的先前根证书,最终希望将根证书的最长生存期缩短到 7 年。
这反映出业界普遍认识到缩短证书有效期的价值,以及为达成这一共识而采取的积极行动。
这些行业计划与缩短数字证书生命周期以应对新出现的威胁并促进更安全**环境的更广泛趋势相一致,而 90 天证书生命周期提案将这一主题摆在每个组织的董事会面前。
不要惊慌,开始准备吧。 90天证书何时实施仍不确定。 但它发生了,唯一的问题是什么时候。 当然,没有必要恐慌,公司肯定会有足够的时间对此进行充分的准备。
公司应采取的步骤与之前从2年证书缩短为1年证书完全相同:
发现可见性:了解所有SSL证书在网络中的位置。
自动化:通过警报、续订和配置实现整个证书生命周期的自动化。
问责制:定义证书所有权并明确证书生命周期管理的职责。
策略和流程:使用自助服务工具简化申请和批准证书的流程。
数字证书生命周期的转变需要采取积极主动的方法,要求组织重新评估其网络安全战略并加强对迫在眉睫的挑战的防御。
这没有不确定性。 绝对确定。
面对这种迫在眉睫的转变,企业、CA 和浏览器供应商之间的协作变得至关重要。 开放的沟通渠道对于应对数字证书寿命缩短带来的挑战至关重要。 我们鼓励企业积极与其 CA 机构合作,随时了解政策变化、行业最佳实践和缓解过渡的潜在解决方案。
战略性地应对短期凭证激增的企业将能够更好地保持整个组织的网络弹性。 一个成功的策略不仅包括制定全面的证书更新计划,还包括针对网络安全格局的进一步变化采取面向未来的安全措施。 主动措施,例如自动化证书续订和跟上新兴技术,可以帮助企业保持领先地位。
在Sectigo,我们有一个通用平台,专门用于管理数字证书的生命周期,使各种规模的企业都能从单一界面全面了解其整个证书操作。 通过与领先的技术提供商集成,Sectigo Certificate Manager 可以发现任何组织网络中的任何公共或私有证书,从而使企业免受网络攻击和服务中断的影响。
归根结底,您无法管理看不见的东西,因此随着证书寿命的缩短和后量子密码学的出现,保持加密敏捷性并准备好采用面向未来的解决方案从未像现在这样重要。
数字环境在不断发展,企业必须适应不断变化的网络安全浪潮,以保护其资产并维护客户信任。 通过采取积极主动的协作方法,企业可以应对这些挑战并变得更强大,确保不会有突然垮台的威胁,而是在数字时代获得增长和弹性的机会。