398 天變 90 天，媒體示警：TLS / SSL 證書有效期縮短將導(dǎo)致故障激增

IT之家 2 月 20 日消息，谷歌開源瀏覽器項(xiàng)目 Chromium Project 去年發(fā)布倡議，為了構(gòu)建更安全、更快速、更穩(wěn)定的互聯(lián)網(wǎng)環(huán)境，計(jì)劃將傳輸層安全（TLS）證書的有效期從 398 天縮短到 90 天。

國外科技媒體 betanews 近日發(fā)表評論文章，表示谷歌憑借著 Chrome 在桌面瀏覽器的主導(dǎo)地位，完全可以強(qiáng)制推行該策略，并逐漸普及到所有瀏覽器中。

而對于使用 TLS 證書的企業(yè)（即所有將服務(wù)連接到互聯(lián)網(wǎng)的企業(yè)）來說，如果現(xiàn)在不采取相關(guān)有效的應(yīng)對措施，既有可能導(dǎo)致網(wǎng)站鏈接失效的問題。

IT之家注：TLS 證書是一種機(jī)器身份，確保系統(tǒng)能夠在互聯(lián)網(wǎng)上安全地相互通信。如果網(wǎng)站在過期前不重新簽發(fā)或更換證書，就會停止工作，導(dǎo)致代價高昂的中斷、破壞和更大的安全風(fēng)險(xiǎn)，用戶訪問就會出現(xiàn)“無法連接到不受信任的網(wǎng)站”錯誤。

不斷縮短證書有效期

2018 年，證書有效期從 5 年縮短到 2 年，2020 年又縮短到 13 個月。通常來說較短的生命周期有利于網(wǎng)絡(luò)安全，其原因有以下幾點(diǎn)：

• 如果威脅行為者設(shè)法獲得了被盜或被泄露的證書，他們利用該證書的機(jī)會窗口就會變小。

• 較短的生命周期還能鼓勵更有規(guī)律地輪換密鑰，簡化撤銷管理。

• 企業(yè)繼續(xù)使用過時加密算法的風(fēng)險(xiǎn)更小。

• 鼓勵企業(yè)減少對單一證書頒發(fā)機(jī)構(gòu)（CA）的依賴。

縮短至 90 天的額外負(fù)擔(dān)

90 天有效期可能會給安全團(tuán)隊(duì)帶來巨大的額外負(fù)擔(dān)。鑒于最佳實(shí)踐建議在證書到期前 30 天進(jìn)行更新，這就需要每年輪換六次 TLS 證書，而現(xiàn)在只需要 1 次。如果不能找到并更換所有證書，可能會導(dǎo)致重大服務(wù) / 應(yīng)用中斷。

隨著 TLS / SSL 證書數(shù)量的不斷激增，這一負(fù)擔(dān)將更加沉重。隨著證書數(shù)量的不斷增加，與機(jī)器身份管理相關(guān)的復(fù)雜性也將隨之增加。

同時，對云服務(wù)和云的依賴性增加，讓 90 天證書的相關(guān)問題更加復(fù)雜，包括了解哪些證書會過期以及如何更改。

研究顯示，截至 2021 年底，每家企業(yè)的機(jī)器身份平均數(shù)量接近 25 萬個，預(yù)計(jì)每年將增長 42%。對于員工人數(shù)超過 10,000 人的組織而言，這一數(shù)字在 2022 年初上升到 32 萬個機(jī)器身份，到 2025 年可能翻兩番，達(dá)到 130 萬個。

將這一數(shù)量與管理有效期縮短所帶來的額外負(fù)擔(dān)相乘，就會導(dǎo)致安全風(fēng)險(xiǎn)和中斷不斷上升。

縮短至 90 天可能增加商業(yè)風(fēng)險(xiǎn)

如果企業(yè)無法有效管理每年的大量更新，就可能導(dǎo)致重大故障和安全漏洞。

證書過期意味著網(wǎng)絡(luò)瀏覽器、移動應(yīng)用程序、應(yīng)用程序接口和其他機(jī)器無法對其進(jìn)行身份驗(yàn)證，從而導(dǎo)致應(yīng)用程序脫機(jī)。

這可能導(dǎo)致面向客戶的網(wǎng)站和關(guān)鍵的內(nèi)部應(yīng)用程序（如電子郵件服務(wù)和 VPN 連接）中斷。至少，它會導(dǎo)致網(wǎng)站出現(xiàn)瀏覽器警告，嚇跑客戶，并讓網(wǎng)絡(luò)流量被網(wǎng)絡(luò)犯罪分子截獲。

美國政府和 Spotify 等不同組織都親眼目睹了前一種情況可能造成的影響。調(diào)查顯示，在過去 12 個月中，83% 的組織遭受過與證書相關(guān)的故障，其中四分之一（26%）的組織聲稱故障影響了關(guān)鍵業(yè)務(wù)系統(tǒng)。如果縮短證書有效期，此類事件將會增加。

證書過期也會給客戶帶來風(fēng)險(xiǎn)，因?yàn)橥{者更容易成功實(shí)施網(wǎng)絡(luò)釣魚活動和中間人（MITM）攻擊。更多無法驗(yàn)證和證書過期的網(wǎng)站是黑客夢寐以求的，他們會讓用戶接受錯誤并直接點(diǎn)擊進(jìn)入他們的攻擊。

自動化方案依然存在挑戰(zhàn)

要大規(guī)模緩解這些挑戰(zhàn)，唯一的辦法就是在機(jī)器身份管理中實(shí)現(xiàn)自動化。在動態(tài)和短暫的云原生環(huán)境中，必須建立一個控制平面來管理機(jī)器身份的整個生命周期，并在數(shù)據(jù)中心和多個云中實(shí)現(xiàn)自動化。

人們一直希望 ACME 等技術(shù)和 certbot 等開源軟件能讓自動化變得一勞永逸。但挑戰(zhàn)在于，僅靠這些技術(shù)并不能確保更改已經(jīng)完成，也不具備指揮自動化機(jī)器人陣列的能力。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。