当前位置: 首页 > article >正文

免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来!

目录

  • 背景
    • 解决方案。
      • 1.使用自签证书(浏览器报警、免费)
      • 2.更换支持自签自续的CA机构(免费)
      • 3.付费选择CA机构
  • 免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来
    • 免费的SSL证书有以下弊端
      • 1.有效期短:
      • 2.兼容性问题:
      • 3.不稳定性和撤销风险:
      • 4.安全性与信任度:
      • 5.加密强度:
      • 6.品牌形象:
    • browser
    • 谷歌提议将SSL证书有效期缩短至90天
    • 未来或将强制缩短SSL证书为7天一次签发
    • 为什么由浏览器(browser)去决定CA的生死?
      • 浏览器来管理CA。
    • 被浏览器封杀的CA
      • 沃通
      • 赛门铁克
    • 提议缩短SSL签发有效期的目的是什么?
      • 是为了赚CA的保护费吗?
      • 安全性
    • 结论

背景

最近我使用的SSL证书到期了,之前都是一年一次申购,一次申请一年,然后手动进行更换,
但是今天发现,再次申请的免费证书,只可以使用3个月(90天),
这就意味着,由之前每年一更换的证书,变成了3个月,很难受。


随后,我进行了一些调研咨询,结合自身的理解,目前有以下几个

解决方案。

1.使用自签证书(浏览器报警、免费)

acme.sh是github上的一个开源项目,实现了acme协议, 可以从letsencrypt生成免费的证书。
官方文档(官方文档的使用说明很详细,推荐阅读):
英文:https://github.com/acmesh-official/acme.sh
中文:https://github.com/acmesh-official/acme.sh/wiki/说明
参考链接https://blog.csdn.net/weixin_43735348/article/details/105311767

2.更换支持自签自续的CA机构(免费)

使用可以自动续签的,或者自动更换的,由浏览器认可的CA证书(比如OHTTPS),这种的自动更新ssl,有cdn的可以同步刷新,还支持泛域名。
以下两个是实例,我没用过
https://ssl.juyun.top/
https://www.ohttps.com/

3.付费选择CA机构

选择CA机构时,SSL证书品牌并不多,如果按照99.9信任度,交叉链不超过2级以上的,仅有:GlobalSign、DigiCert、Entrust,三家颁发机构。建议参考三项SSL证书颁发机构标准选择。贵之外没啥缺点 屏蔽问题都好了很多

参考如下:
一、包括古老的操作系统及设备默认根证书信任、浏览器可信度达到99.9%。
二、SSL证书链包括服务器(域名)证书不超过三级。组成具体:一本根证书、一本中间证书、一本服务器证书,组成的证书链。
三、SSL证书中间证书必须是根证书厂方品牌,禁止使用委托PKI品牌名称。
四、颁发机构5年内未出现重大网络安全事件。
五、合法性中国境内有合法性单位(合资或外企)登记。
六、ocsp服务器全球化统一网络。
在这里插入图片描述


免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来

https://baijiahao.baidu.com/s?id=1763112984966001772&wfr=spider&for=pc

免费的SSL证书有以下弊端

1.有效期短:

免费SSL证书的有效期通常很短,比如只有1个月或3个月,这导致网站管理员需要频繁地更新证书,增加了管理负担。与之相比,付费证书的有效期一般更长,可达一年或更久。频繁的证书更换不仅耗时,还可能导致因忘记更新而出现证书过期的情况,影响网站的正常访问。

2.兼容性问题:

一些免费SSL证书可能在不同浏览器和操作系统上的兼容性较差,导致部分用户访问时遇到警告或无法正常访问,影响用户体验和网站流量。

3.不稳定性和撤销风险:

免费SSL证书有可能被证书颁发机构随时撤销,且在撤销后可能没有明确的通知机制,这给网站的稳定运营带来不确定性。同时,由于缺乏商业保险和合同保障,一旦出现问题,使用者可能无法获得赔偿或法律支持。

4.安全性与信任度:

免费SSL证书在身份验证方面可能不够严格,有的仅提供域名验证(DV),而不包括组织验证(OV)或扩展验证(EV),这使得它们在建立网站的信任度方面不如付费证书。此外,部分浏览器和用户可能对免费证书持有更高的警惕,认为它们不如付费证书可靠。
技术与客户服务支持:免费SSL证书往往缺乏全面的技术支持和客户服务,当遇到安装、配置或其它问题时,用户可能得不到及时有效的帮助,增加了使用难度和潜在的风险。

5.加密强度:

免费证书可能提供的加密强度较低,不足以应对复杂的网络安全威胁,而付费证书通常提供更高级别的加密算法,确保数据传输的安全性。

6.品牌形象:

对于企业而言,使用付费SSL证书可以在一定程度上提升品牌形象,展示公司对用户数据安全的重视,而免费证书可能不足以传达这种专业性和责任感

browser

下述,这四家代表browser(浏览器)
1.微软:Edge、Internet Explorer
2.苹果:Safari
3.谷歌:Chrome
4.Mozilla:Mozilla Firefox(火狐)

谷歌提议将SSL证书有效期缩短至90天

网站安全又遇新问题?谷歌提议将SSL证书有效期缩短至90天!
使用免费证书的站长们,都有这个疑问,以前都是一年现在直接90天一下缩减3/4
但是,实际上SSL证书有效期缩短至90天这个提议是由谷歌提议并推动的.

本次谷歌的提议,声明将通过“未来的政策更新或CA/B论坛投票提案”来执行,
但实际上,CA/B的信息没有意义,因为整个SSL体系是由B来说了算的,CA说白了就是参与方,象征性的投票。
因为如果CA或者其他的B不同意,谷歌大概率会走“政策更新”这条苹果走过的老路了,
作为 Chrome 根程序的要求,来单方面强制执行此更改,并且让其成为每个商业公共CA都不得不遵循的事实标准。

本次缩短至90天,没有强制执行,只是browser方的四个同意了,等同于同意执行,
浏览器执行信任根政策,只要b的四个同意执行就是没跑了。

未来或将强制缩短SSL证书为7天一次签发

谷歌最新的提议将SSL证书有效期缩短为7天,,提议是否落实,就要看其他的browser是否同意了,目前还没有任何提交讨论的实际行动,但不排除,Chrome进行 “政策更新”,作为 Chrome 根程序的要求,来单方面强制执行此更改。强制执行

为什么由浏览器(browser)去决定CA的生死?

浏览器来管理CA。

browser不做信任根,只是做浏览器去信任某个根证书,这四家没有一家浏览器是卖证书的,他们是作为浏览器一方来管理CA,并且browser的决策,是直接到影响这些CA机构,
由于浏览器信任根机制,导致他们对于CA有约束力,通常来讲一些决策需要上述的browser全部同意才能执行,

大家所熟知的,globalsign、科摩多这种不过就是CA机构,而已下图所示
在这里插入图片描述
在这里插入图片描述

被浏览器封杀的CA

browser就是负责管理CA的,如果没有按照规则执行那么结果就是和沃通一样,沃通以及沃通签发的所有证书全部失效

沃通

比如,当年沃通就是被这么搞死了,不过也是作死,子域名能签出来根域名

在这里插入图片描述

赛门铁克

谷歌怒了 宣布将不再信任赛门铁克SSL证书

提议缩短SSL签发有效期的目的是什么?

是为了赚CA的保护费吗?

是想让CA给它交保护费?交了钱就可以一年签发?

没必要,因为就算不这么做CA也要交保护费, 不管怎么样CA一样要交保护费,CA交的钱一点也不少
而且,做浏览器的怎么会馋CA赚的钱,除了Mozilla,这家比较特殊以外,其他自己业务早就赚翻天了,做浏览器的都是大公司,不在意这点的,安全考量确实有必要。反正这四家除了Mozilla缺钱,其他的压根看不上

CA能赚钱的业务是OV EV而非DV
而OV EV这些要审核的,缩短了SSL的签发有效期,会加大CA的工作压力,算上审核,签发,调试的时间,真搞成7天估计每天都在更新证书。

安全性

因为过长的证书时间泄露风险就会越大,
而且谷歌的最终目的就是,像cloudflare那样,让所有网站可以自动更新SSL,证书部署自动化,泛域名、更新CDN。

所以,谷歌有点太理想了,一直都是浏览器这边再强行推进,CA机构是很反对缩短时间的。

结论

CAB联盟以前是听CA的话,后来浏览器这边搞了一套信任策略,然后现在就是CA听B的话


http://www.kler.cn/a/302313.html

相关文章:

  • A029-基于Spring Boot的物流管理系统的设计与实现
  • MySQL(5)【数据类型 —— 字符串类型】
  • 深入探索:Scrapy深度爬取策略与实践
  • 【Java语言】String类
  • Python中异常处理小测验
  • 容器技术在DevOps中的应用
  • 富格林:警醒欺诈消除遭遇暗箱欺诈
  • 光伏监控系统在新材料公司的应用
  • sqlgun靶场练习
  • DNS解析域名详解
  • 10分钟在钉钉上增加一个AI机器人
  • PHP即刻送达同城派送小程序系统
  • 谷歌谈流量波动不必担心的情况
  • RHCE--复习(一)之系统延迟任务及定时任务
  • <数据集>二维码识别数据集<目标检测>
  • 时尚购物新趋势:Spring Boot技术在时装系统中的应用
  • Python世界:力扣题43大数相乘算法实践
  • MySQL的DDL、DML、DQL
  • springboot 的共享session方案?
  • OpenCV影像数据处理入门-学习篇
  • vue环境搭建相关介绍
  • 在pycharm终端中运行pip命令安装模块时,出现了“你要如何打开这个文件”弹出窗口,是什么状况?
  • Vue基础明晰
  • chatGPT o1 重磅发布!像人类大脑一样思考和推理!
  • 快速入门和简单理解并发编程中的并发、并行、同步、异步,并且简单实现多进程和多线程
  • JS设计模式之代理模式:对象的“虚拟与现实”