如果您还没有自动的SSL证书生命周期管理(CLM)——那么您的时间不多了
缩短SSL/TLS证书的寿命在过去的十年中一直在进行,所以当谷歌计划将SSL/TLS证书的有效期缩短为90天时,我们不应该感到惊讶。但你在想,这种转变将如何影响你的组织,整个行业,坦率地说,你可以做些什么。耐心等待,我们会介绍它的全部含义,以及自动化SSL/TLS证书管理是如何从想要变成需要的。
ACME如何塑造SSL/TLS证书有效性的未来?
ACME (自动化证书管理环境)是几年前设计的一个协议,用于自动化证书生命周期管理。它最初是由互联网安全研究小组(ISRG)创建的。
在当时,这是一项必要的创新,因为一个SSL/TLS证书提供商的有效期只有90天(约3个月),并且每年至少需要更换4次。这与其他遵循CA/浏览器论坛签发证书的商业CA不同。
当前SSL/TLS证书的最大有效期是多少?
当前SSL/TLS证书的最大有效期是398天,即大约13个月,这是在CA/B论坛的基线要求中设定的。
现在一切都要改变了。在2023年3月初举行的CA/B面对面论坛会议之后,谷歌宣布打算将所有公开可信的SSL/TLS证书的最长有效期缩短为90天。
谷歌什么时候将90天的证书有效期落实到位?
虽然这一改变还没有一个有效的日期或截止日期,但谷歌已经在CA/B论坛上向证书机构发布了一份调查报告,并正在请求对其计划的反馈。之后,它可能会宣布所有拟议改革的实施日期。随着情况的发展,我们将与你保持联系。
为什么缩短证书有效期是个好主意?
十年前,你可以购买一个5年期的SSL证书,这个数字已经从3个稳步减少到2个,然后下降到目前的最高有效期。这背后的想法是合理的,即使在规模上有点笨拙;证书的有效期越长,其可靠性越低。
可以这样想,SSL/TLS证书是浏览器用来验证web服务器身份的。验证信息的时间间隔越长,验证的可靠性就越低。想想在短短一年的时间里会发生多少变化——公司合并,交易和合并,域名出售,公司发展——以保持最可靠的认证水平,信息需要定期验证。
至于有多频繁是有争议的。谷歌在CA/B论坛上的前任代表表示,域名验证信息应该只保持6周的可靠性。
在可预见的未来,我们能指望证书的期限降到30天吗?
现在下结论还为时过早,但是如果可以根据SSL/TLS证书的历史有效期进行判断,我们也不会排除这种可能性。
但是现在,是时候开始认真讨论组织中的证书生命周期管理以及为什么ACME是一个合适的解决方案了。
自动化从一种想要变成一种需要
管理SSL/TLS证书一直是一件冗长乏味的事情。任何多于少量的操作都需要深思熟虑的计划,处理多次验证,获得证书,将它们安装到正确的服务器上,安装它们,配置它们,确保你设置了它们过期的提醒——毫无疑问,这是一件非常麻烦的事情。
这只是每年担心一次。现在试着乘以4。哎哟。如果你的IT团队住在大楼的二楼或更高的楼层,你可能需要钉住他们的窗户。
但有一种更简单的方法可以阻止它们跳跃(ship): ACME.
ACME是一种协议,用于促进CA和安装在web服务器上的代理之间的通信。代理管理服务器上网站的证书请求、域验证、安装和更新。如前所述,ACME的设计是专门考虑这些时间框架的,而且自从它的初始规范以来,它已经被细化,以促进的不仅仅是开源的域验证(domain-validated, DV)证书。
不再需要手动进行域名验证。代理为你做这些。没有更多的安装和配置。代理也会这样做。当证书即将过期需要替换时——你猜对了,代理是最重要的。
GlobalSign的ACME服务如何帮助我的SSL/TLS证书自动化?
GlobalSign的ACME服务是一种与代理无关的、低杠杆的自动化解决方案,为您的IT团队消除了繁琐的工作,并为您的组织节省了资金。GlobalSign的ACME服务可以同时签发域验证(domain-validated, DV)和组织验证(organization-validated, OV) SSL/TLS证书。此外,GlobalSign的经验、支持和服务水平协议(sla)使其成为世界上最受尊敬的证书颁发机构和合格的信任服务提供商之一。客户可以通过Atlas门户购买证书包并管理一切,从而实现网络上所有SSL/TLS证书的完全自动化。
编者注:本博客最初于2023年3月发布,并于2023年5月更新。
