不久前,微博有了一个技术圈儿的热搜 。
在同一时间,大量特斯拉车主纷纷反映 App 出现大面积宕机,手机钥匙无法获取车辆信息,行车过程中无法点亮车内仪表盘和中控屏只能“盲开” 。
文章插图
在紧急修复之后,特斯拉官方表示原因系 APP 域名证书(SSL 证书)过期,导致 APP 无法连接 。这样一个推崇技术的企业竟然出现这种低级的技术问题,难免让人唏嘘 。
但其实 SSL 证书过期事件,曾经在众多大型企业甚至国外某些政府机构网站均出现过 。据《企业数字证书管理安全调查 2019》权威报告统计,74% 的组织经历过停机或由于证书过期导致的停机,每个组织的平均损失超过 1100 万美元 。
为什么大家连一个简单的证书认证都搞不好?SSL 证书对企业来说到底有什么用?
一、从 HTTP 协议的致命缺陷说起
文章插图
HTTP 协议有一个致命缺陷,即这是一种没有加密的明文传输协议,不能安全的传输敏感数据信息 。而发明 SSL 协议的初衷,就是为了解决 HTTP 的这一问题 。和 SSL 经常一起出现的 TLS,是将 SSL 协议标准化之后的名称,因此经常有人将其并列称为 SSL/TLS 。
SSL/TLS 证书作为数据安全和隐私保护的安全标签,在网络中被大量使用,但近几年来,互联网安全事件仍然频发,究其原因,一是因为企业安全意识疏忽导致的证书过期,另一个原因是此前证书的寿命过长,大部分企业不会配合进行频繁的证书更新 。
【SSL 证书过期事件频发,切忌不要因小失大】为了避免这一问题,从 2020 年 9 月 1 日开始,苹果、谷歌、Mozilla 的浏览器和设备将对有效期超过 398 天的新 TLS 证书显示错误 。
文章插图
要知道最早的证书寿命是 8 年,后来慢慢缩短为5年、3 年、2 年,这次缩短为一年左右,无疑为企业原本就繁琐困难的证书管理再次增加了难度 。
那么安装 SSL/TLS 证书真的有必要么?不安装又会出现什么问题?
二、企业必须安装 SSL/TLS 证书么?
文章插图
毫无疑问,证书有效期期缩短会增加证书使用者更新证书的频率 。企业需要每年进行一次证书申请,而证书申请一般要走商务合同、经过层层审核 。过程繁琐且周期长,若是疏忽忘记更新,还会导致证书过期,从而为企业带来利益和品牌的双重损失 。
但这个证书不装可能还真不行 。
首先在国家层面,一直有相应的法律法规要求进行相应的数据加密 。在今年新修订的《信息安全技术网络安全等级保护基本要求》等系列国家标准中,更是明确了网络安全体系承建者、网络运营者等各方对于网络安全的责任和义务 。
此外,对于网站自身来说,安装了安全证书后可以有效的防止黑客的窃取和篡改,降低企业的业务风险 。网站在安装相应的证书后,在浏览器地址栏会显示一个「安全锁」,告诉用户这个网站是经过认证的 。
文章插图
一些高级证书还支持在地址栏显示公司的名称,让访客明确知道这是企业官网,可以放心访问 。并且,进行 SSL/TLS 证书认证,对于企业的 seo 优化也是有帮助的 。
三、企业的痛点要如何解决?
文章插图
既然安装 SSL/TLS 证书势在必行,并且也对企业有着实实在在的好处,为什么企业还要这么发愁?具体有哪些痛点需要解决?
首先,证书的管理就是一件麻烦事,从签发到续签、替换和吊销都有着繁琐的过程;其次,证书的数量与种类多种多样,个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书...很多企业压根就搞不清自己需要安装哪些、需要安装多少 。
此次随着证书寿命的进一步缩短,更是增加了企业证书管理的难度 。但其实企业的安全证书管理是有捷径的,目前市面上最专业的证书自动化管理平台,已经可以提供自动化交付的相关功能,比如:
