日前，在秋季 CA/瀏覽器論壇面對面會議的第二天，蘋果公司透露在 GitHub 發(fā)布了一份征求意見的投票草案，提議從現(xiàn)在到 2027 年逐步將公共 SSL/TLS 證書的最大期限由目前的398天縮短至 45 天。

有效期縮短已成定局，各界需嚴正以待

實際上，SSL證書的有效期一直在縮短。在過去，SSL證書的有效期曾長達八年，但近年來為了提升互聯(lián)網(wǎng)安全性，證書的有效期逐步縮短。

但蘋果單方面決定只信任一年期證書，導(dǎo)致大量瀏覽器跟進，實現(xiàn)了SSL證書有效期縮短至了1年。所以這次蘋果提議縮短到45天有效期的提議雖仍在討論階段，但也為行業(yè)趨勢發(fā)展釋放出了強烈信號，相當多行業(yè)從業(yè)者相信，SSL證書有效期縮短至45天必定得到執(zhí)行。

AppleMusic證書過期業(yè)務(wù)中斷

回旋鏢來得很快。11月10日，眾多網(wǎng)友發(fā)現(xiàn)進入Music音樂服務(wù)時，發(fā)現(xiàn)“此服務(wù)器的證書無效。你可能正在連接到一個偽裝成“play.itunes.apple.com”的服務(wù)器，這會威脅到你的機密信息的安全?！睆棿疤崾荆瑢?dǎo)致該音樂服務(wù)無法正常使用，而造成此次服務(wù)中斷的原因便是SSL證書過期。

（圖源：網(wǎng)絡(luò)）

據(jù)悉，Music音樂服務(wù)采用的是分區(qū)解析，不同區(qū)域用戶解析到不同服務(wù)器，不同服務(wù)器又部署了不同的SSL證書。而此次受影響的主要是國內(nèi)部分用戶，因為其服務(wù)器的SSL證書已于凌晨到期，導(dǎo)致服務(wù)器被檢測成了不安全的服務(wù)器，被禁止使用。

證書過期服務(wù)中斷事件層出不窮

有效期進一步縮短，應(yīng)提前做好準備

雖然SSL證書有效期縮短是為了進一步提升HTTPS加密安全，并為過渡到抗量子算法提前做好準備，但還是增加了我國廣大企業(yè)網(wǎng)站的安全風(fēng)險和管理成本。

眾所周知，網(wǎng)站申請和安裝SSL證書有一套固定、繁瑣的流程，一旦因安裝或續(xù)費不及時而導(dǎo)致證書過期，很容易造成網(wǎng)站數(shù)據(jù)被監(jiān)聽、篡改和泄露，嚴重者可能還會導(dǎo)致企業(yè)的各種業(yè)務(wù)意外中斷，網(wǎng)站無法正常運營，造成巨大的經(jīng)濟損失。

45天的SSL證書有效期，代表著對于擁有大量證書的企業(yè)及網(wǎng)站所有者來說，人工申請和部署SSL證書的傳統(tǒng)方案將不太現(xiàn)實，自動化證書管理將成為未來企業(yè)常態(tài)。

天威誠信TLS證書全生命周期管理

證書全生命周期管理：依托于DigiCert Trust Lifecycle Manager 的證書生命周期管理方案，能幫助提供證書發(fā)現(xiàn)、管理和自動化服務(wù)以防止業(yè)務(wù)中斷，方法是減少服務(wù)中斷、漏洞或惡意活動造成的業(yè)務(wù)風(fēng)險，簡化操作及減少人為錯誤，以及提高對行業(yè)威脅和網(wǎng)絡(luò)安全標準變化的響應(yīng)敏捷性。

PKl服務(wù)：Trust Lifecycle Manager 的 PKI 服務(wù)提供 ICA 和私有 PKl 頒發(fā)，用于管理用戶、服務(wù)器、設(shè)備及其他 IT 資源的身份和身份驗證，具有靈活性和自動化功能，可優(yōu)化T預(yù)配需求，提高采用率、生產(chǎn)率和安全性。

基于此解決方案，企業(yè)可全面監(jiān)督組織內(nèi)的各種證書和PKI需求，實現(xiàn)可見性和控制的集中化，獲得已頒發(fā)證書和網(wǎng)絡(luò)安全資產(chǎn)的統(tǒng)一、全面化視圖，實現(xiàn)頒發(fā)和管理之間無縫操作，降低風(fēng)險、簡化操作，防止業(yè)務(wù)中斷?？勺詣踊芾?SSL 證書生命周期每一階段，降低證書管理技術(shù)門檻，使網(wǎng)站安全管理工作更加輕松。這樣一來，45天新政也并不可怕。

此次SSL證書45天有效期的信號趨勢，對于政府網(wǎng)站、銀行網(wǎng)站、大型企業(yè)及所有關(guān)鍵信息系統(tǒng)運營單位必須提前準備，未雨綢繆，才能不至于被動應(yīng)對，及時防止因SSL證書到期而影響到關(guān)鍵業(yè)務(wù)進程及重要信息系統(tǒng)的運行。