GlobalSign 博客

谷歌的90天证书有效期计划需要CLM自动化

如果您还没有自动证书生命周期管理(CLM)——那么您已经没有时间了

ACME 或自动化证书管理环境是几年前设计的一个协议,用于自动化证书生命周期管理。它最初是由互联网安全研究小组(ISRG)创建的,供开源认证机构Let 's Encrypt使用。  

在当时,这是一项必要的创新,因为Let 's Encrypt SSL/TLS证书的有效期只有90天,并且每年至少需要更换4次。这与其他遵循CA/浏览器论坛基线要求的商业CA不同,它们签发的证书的最大有效期为13个月(397天)。

现在一切都要改变了。在2023年3月初举行的CA/B面对面论坛会议之后,谷歌宣布打算将所有公开可信的SSL/TLS证书的最长有效期缩短为90天。

虽然这个改变还没有一个有效的日期或截止日期——现在是时候开始计划SSL/TLS证书生命周期管理的自动化了。

为什么证书的有效期更短? 

在过去的十年中,缩短证书寿命一直是一项持续的倡议。10年前你可以购买5年的SSL证书,现在这个数字已经从3年减少到2年,然后减少到现在的1年(技术上是13个月)的最大有效期。

这背后的想法是合理的,即使在规模上有点笨拙;证书的有效期越长,其可靠性越低。可以这样想,SSL/TLS证书是浏览器用来验证web服务器身份的。验证信息的时间间隔越长,验证的可靠性就越低。想想在短短一年的时间里会发生多少变化——公司合并,交易和合并发生,公司发展——以保持最可靠的认证水平,信息需要定期验证。  

至于有多频繁是有争议的。谷歌在CA/B论坛上的前任代表(该论坛决定了行业的监管要求)表示,域名验证信息应该仅在六周内保持可靠。三个月大约是这个数字的两倍(12个半月)。

到目前为止,谷歌已经在CA/B论坛上向证书权威机构发布了一份调查报告,并要求他们在3月底之前就其声明的计划提供反馈。之后,它可能会宣布所有拟议改革的实施日期。随着情况的发展,我们将与你保持联系。

但现在,是时候开始认真讨论组织中的证书生命周期管理了。GlobalSign有一个全套解决方案。

自动化从一种想要变成一种需要 

管理SSL/TLS证书一直是一件冗长乏味的事情。任何多于少量的操作都需要深思熟虑的计划,处理多次验证,获得证书,将它们安装到正确的服务器上,安装它们,配置它们,确保你设置了它们过期的提醒——毫无疑问,这是一件非常麻烦的事情。

这只是每年担心一次。现在试着乘以4。哎哟。如果你的IT团队住在大楼的二楼或更高的楼层,你可能需要钉住他们的窗户。

但有一个更简单的方法可以阻止他们跳槽:GlobalSign的ACME服务。如前所述,ACME的设计是专门考虑这些时间框架的,而且自从它的初始规范以来,它已经被细化,以促进的不仅仅是开源的域验证(domain-validated, DV)证书。GlobalSign的ACME服务可以同时签发域验证(domain- validated, OV)和组织验证(organization-validated, OV) SSL/TLS证书。此外,GlobalSign的经验、支持和服务水平协议(SLA)使其成为世界上最受尊敬的证书颁发机构和合格的信任服务提供商之一。

ACME是一种协议,用于促进CA (GlobalSign)和安装在web服务器上的代理之间的通信。代理管理服务器上所有被授权代理的网站的整个证书生命周期。客户可以通过Atlas门户购买证书包并管理一切,从而实现网络上所有SSL/TLS证书的完全自动化。

无需再费力地通过验证。代理为你做这些。没有更多的安装和配置。代理也会这样做。当证书即将过期需要替换时——你猜对了,代理是最重要的。

GlobalSign的ACME服务是一种与代理无关的、低杠杆的自动化解决方案,为您的IT团队消除了繁琐的工作,并为您的组织节省了资金。坦率地说,鉴于谷歌最近的声明,这是一个最好的时机。

了解更多

近期博客