全面封杀?超过13个月的HTTPS证书将被Safari拒绝!

2020-02-26 5,016

上周(当地时间2月19日),在斯洛伐克举行的CA/浏览器(CA / Browser)论坛会议上,苹果公司宣布:为了提高网络安全性,从2020年9月1日开始,任何有效期超过 398 天的新网站证书将不会受到Safari浏览器的信任,而是会被拒绝。另外,在截止日期(2020年9月1日)之前颁发的较旧证书不受此规则的影响。

这项政策的发布意味着使用在截止时间点之后使用两年期SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误,所有证书需要每年进行续签,以保持Safari的信任。(注意:2020年9月1日前签发的所有SSL/TLS证书不受此政策影响

1566011217301056.jpg

苹果发布这项政策的目的是通过确保开发者使用最新加密标准的证书来提高网站的安全性,并减少被忽视的旧证书的数量,这些证书有可能被盗窃,并被用于网络钓鱼和驱动器恶意软件攻击。如果研究人员或不法分子能够破解SSL/ TLS标准中的密码,短期证书将确保人们在大约一年内迁移到更安全的证书。



浏览器巨头正逐步缩短证书有效期

2019年8月,谷歌在CA/Browser Forum 会议上就提出将 HTTPS 证书的有效期从 27 个月缩短到 13 个月的议案,最终,CA/Browser Forum 经投票否决了这项提案,SSL证书最长有效期仍为2年

据悉,苹果,谷歌和CA/Browser的其他成员考虑缩短证书有效期的问题已有一段时间,他们希望通过拒绝旧的安全证书,迫使网站管理员使用最新的加密技术更新他们的证书,而不是使用旧的、不那么安全的证书,这还将有助于减少管理员不知道的可能已被破坏的证书的影响。


1582594982900983.png

根据 W3Counter 的最新数据显示,截至2020年1月,Safari浏览器的市场份额为17.7%。仅次于Google Chrome(58.2%)。



证书管理将面临巨大挑战

缩短证书的有效期,通过增加证书替换的频率,导致使用加密证书的网站所有者和企业的管理周期变得更加复杂,对许多依赖数字证书保护系统的公司来说,将带来巨大的成本,极大加重了企业运维管理人员的负担,SSL/TLS证书过期所造成的后果将会不堪设想!


SSL/TLS证书过期的不利影响 :

△  损害企业网站的SEO排名;

△  网站处于高安全威胁:数据和敏感信息被窃取、被篡改、被中间人攻击;

△  网站公信力、品牌形象带来极大的负面影响;

△  证书到期导致的企业业务意外中断,无法正常运营,承担资金损失;

△ 不当的证书/密钥管理导致的审核失败或违规;


1582595213280746.png

图:Safari浏览器网站证书过期样式


如今,证书管理正成为企业的主要负担。企业规模越大,管理问题就越严峻。



如何有效进行证书管理?

不知道证书何时过期?不知道有多少证书和密钥?如何避免证书管理的痛点?苹果Safari证书有效期政策生效后,企业将如何应对?

亚洲诚信建议:您可以通过优质可靠的证书管理平台(如:CertManager、 CertCentral等,依靠自动化管理来协助证书的部署,更新和生命周期管理,以减少人员开销和随着证书更换频率的增加而出现错误的风险。


1582595504940097.jpg


本文作者:TrustAsia亚洲诚信

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/123911.html

Tags:
评论  (0)
快来写下你的想法吧!

TrustAsia亚洲诚信

文章数:20 积分: 92

TrustAsia亚洲诚信是亚数信息科技(上海)有限公司应用于信息安全领域的品牌,秉承以技术服务为核心,致力于对符合本地化的SSL证书技术及相关网络信息安全实施方案的研究和推广,作为DigiCert/Symantec亚太区白金战略合作伙伴和首席安全技术专家战略合作伙伴,在数字证书领域和互联网安全领域位居领先地位,以高度专业化水准为各行业提供国际知名品牌SSL数字证书、TrustAsia®自主品牌的SSL证书以及自主知识产权的SSL证书管理、SSL协议级监测和证书风险评测等一系列网络信息安全管理解决方案,深受业界的持续关注和广泛认可。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号