“HTTPS正在全面取代HTTP”,这已经成为业内人士的共识。显然,和HTTP的明文传输相比,拥有SSL/TLS证书的HTTPS的加密传输更加符合互联网的“安全”思想。

凭借着SSL/TLS证书,HTTPS几乎获得了全世界的支持。例如Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议;HTTPS作为影响搜索排名的重要因素等。

随着GDPR和网络安全法陆续颁布实施,这一趋势更加明显且确定,但是“安全”也给SSL/TLS证书管理带来了新的挑战。

那就是企业该如何及时且有效地管理SSL/TLS证书。

SSL/TLS证书管理困局

2020年3月,苹果在CA/B春季活动上宣布一则重磅消息,“从9月1日开始,SSL/TLS证书的颁发时间不能超过13个月(397天)”。随后,在7月的CA/B夏季活动上,谷歌宣布打算将苹果的改变与自己的根程序相匹配。

缩短证书寿命好处固然有很多,但也使得SSL/TLS证书的管理愈发艰难。毕竟在2015年之前SSL/TLS证书的寿命足有五年之久,如今却只有13个月;再加上企业信息化程度越来越高,致使SSL/TLS证书管理的工作量激增。

  亚洲诚信CertCloud首发 | 一场解决SSL/TLS证书困局的硬核发布会插图

  另外,证书过期之后给企业造成的巨大损失,也是SSL/TLS证书管理难度高的重要因素。例如曾经闹的沸沸扬扬的特斯拉APP大面积宕机事件。

2020年5月13日晚,多位特斯拉车主反映APP出现大面积宕机情况,致使手机无法与车连接,手机钥匙失效,无法获取车辆信息、无法点亮车内仪表盘、中控屏等问题,既给车主带来严重的安全隐患,也大大影响了特斯拉的口碑。

而后,特斯拉官方表示,该事件的起因已经查明,系APP域名证书(SSL证书)过期,导致APP无法连接。

有意思的是,笔者查阅资料发现,不仅仅是特斯拉在这上面(SSL证书过期)栽过跟头,还有许多巨头也曾因此吃了大亏,其中甚至包括苹果、微软、Mozilla等国际大企业。

那么问题来了,SSL/TLS证书管理为什么会这么难?答案是证书更新的频率过高且过程繁琐、漫长。

在信息化高速发展的今天,企业拥有多个服务器,每个服务器可能需要多个证书,亦或是一个证书应用在不同的服务器上,工作量之大可想而知。对于管理人员来说,手动跟踪部署到数百台服务器的数千个证书的过期日期是相当复杂且艰难。再加上几乎每年都要进行一次证书申请,每次都要进行正常的商务流程以及企业内部的审核流程,不仅繁琐而且生命周期(从签发到续签、替换和吊销)非常长,这些都给安全人员带来了很大的挑战。

换句话说,SSL/TLS证书管理并不需要特别强的技术,但是却需要极好的耐心,极强的记忆力(记清楚每个证书的位置和更新时间),以及做好细致的商务流程。一旦某个环境出现问题,都有可能给企业造成严重的损失。

硬核解决方案一站式解决SSL证书管理困局

特斯拉因证书问题致使APP宕机;软件巨人忘记更新 SSL 证书,导致微软即时通讯协作工具 Microsoft Teams 下线三小时;Mozilla也因证书问题推迟Firefox 67发布时间……

这些巨头们的遭遇告诉了我们一个道理:SSL 证书过期后果非常严重,仅依靠人工的手段管理SSL 证书事倍功半。因此,企业必须寻找更加硬核的解决方案,寻找SSL证书管理的破局之道。

一直专注于互联网传输领域的可信和安全亚洲诚信自然也注意到这一问题。为了解决企业SSL 证书的问题,经过多年的潜心研究,终于寻找到新的SSL证书管理的破局之道。

8月12日,亚洲诚信将举办一场超级硬核的线上发布会,最硬核的SSL证书管理解决方案—— CertCloud 将迎来全球首发。“一站式、自动化、无需人工介入”是 CertCloud 的特点,也是解决 SSL 证书管理的关键要素。

  亚洲诚信CertCloud首发 | 一场解决SSL/TLS证书困局的硬核发布会插图1

  和传统的SSL证书管理解决方案相比, CertCloud 的优势主要体现在以下几个方面:

1.多年期证书服务:一次采购合同,满足未来几年对证书的弹性需求。

2.快速自动验证:通过一步 https文件验证或 CNAME 验证,快速批准新的和现有的证书。企业只需要完成服务器配置, CertCloud 将自动代理域名验证工作。

3.集成 ACME 协议部署:CertCloud 与一些最大的 ACME 提供商合作,可实现自动管理和更新现有的证书,无需人工介入,降低人工成本和人为疏忽引发的安全风险。

4.企业信息预审核:预先完成组织信息的审核工作,有效解决 OV/EV 证书申请周期长、影响业务上线的困扰。

5.良好的适配性:适配多类部署环境,支持ACME 、命令行 、各大云服务( 阿里、腾讯、华为等)、主流 WEB SERVERS(Nginx/Apache/IIS 等)、网关设备(F5/SSLVPN 等),以及OPENAPI 。

总的来说,通过CertCloud 可以解决企业证书申请和续期的烦恼,自动化管理 SSL 证书生命周期每一阶段(从签发到续签、替换和吊销),降低安全管理员的工作量,为复杂的DevOps跨云环境提供简单的SSL/TLS证书管理方法。

在证书即将到期时,CertCloud 将会自动进行提醒,通过邮件等方式及时告知客户提前续费或更换SSL证书,简化对于整个企业范围内 SSL 证书的全方位生命周期管理,有效避免客户因忘记续费而导致证书过期事件的发生。

当然,作为SSL证书管理的破局者,CertCloud 解决方案的强大之处远不止这些,更多的惊喜和亮点就在8月12日的线上直播。据悉,亚洲诚信CEO翟新元、亚洲诚信解决方案总监曾瑞丰也将亲自发表主题演讲,共同探索HTTPS时代新态势,共同寻求SSL 证书管理的新方法。

参会指南

发布会时间

2020年8月12日下午13:30

参与平台

FreeBuf直播平台

直播参与方式

点击“阅读原文

亚洲诚信

亚洲诚信(TrustAsia),专注于互联网传输领域的可信和安全。不仅拥有国际第一大品牌DigiCert SSL数字证书、代码签名证书,技术支持与售后服务等,还拥有世界领先的亚洲诚信自主知识产权的SSL证书、SSL证书管理平台(MPKI)、 SSL证书在线检测评估服务(MySSL)、SSL证书云监控系统(MySSL企业版)以及先进的加密无处不在、HTTPS全站加密、 密钥保护等网络安全综合解决方案等一系列网络信息安全管理解决方案。

亚洲诚信作为国内SSL和相关安全技术的领跑者,未来将继续投资于新技术,新标准和新的解决方案,例如移动,DevOps、IoT 和商用密码(国密 SM2/SM3/SM4 ),继续为用户提供更完善的解决方案。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。