全面封殺？超過13個月的HTTPS證書將被Safari拒絕！

上周（當地時間2月19日），在斯洛伐克舉行的CA/瀏覽器（CA / Browser）論壇會議上，蘋果公司宣布：為了提高網絡安全性，從2020年9月1日開始，任何有效期超過 398 天的新網站證書將不會受到Safari瀏覽器的信任，而是會被拒絕。另外，在截止日期（2020年9月1日）之前頒發的較舊證書不受此規則的影響。

這項政策的發布意味著使用在截止時間點之后使用兩年期SSL/TLS證書的網站將在蘋果系統的瀏覽器中引發隱私錯誤，所有證書需要每年進行續簽，以保持Safari的信任。（注意：2020年9月1日前簽發的所有SSL/TLS證書不受此政策影響）

蘋果發布這項政策的目的是通過確保開發者使用最新加密標準的證書來提高網站的安全性，并減少被忽視的舊證書的數量，這些證書有可能被盜竊，并被用于網絡釣魚和驅動器惡意軟件***。如果研究人員或不法分子能夠破解SSL/ TLS標準中的密碼，短期證書將確保人們在大約一年內遷移到更安全的證書。

瀏覽器巨頭正逐步縮短證書有效期

2019年8月，谷歌在CA/Browser Forum 會議上就提出將 HTTPS 證書的有效期從 27 個月縮短到 13 個月的議案，最終，CA/Browser Forum 經投票否決了這項提案，SSL證書最長有效期仍為2年。

據悉，蘋果，谷歌和CA/Browser的其他成員考慮縮短證書有效期的問題已有一段時間，他們希望通過拒絕舊的安全證書，迫使網站管理員使用最新的加密技術更新他們的證書，而不是使用舊的、不那么安全的證書，這還將有助于減少管理員不知道的可能已被破壞的證書的影響。

根據 W3Counter 的最新數據顯示，截至2020年1月，Safari瀏覽器的市場份額為17.7％。僅次于Google Chrome（58.2％）。

證書管理將面臨巨大挑戰

縮短證書的有效期，通過增加證書替換的頻率，導致使用加密證書的網站所有者和企業的管理周期變得更加復雜，對許多依賴數字證書保護系統的公司來說，將帶來巨大的成本，極大加重了企業運維管理人員的負擔，SSL/TLS證書過期所造成的后果將會不堪設想！

SSL/TLS證書過期的不利影響 ：

△ 損害企業網站的SEO排名；

△ 網站處于高安全威脅：數據和敏感信息被竊取、被篡改、被中間人***；

△ 網站公信力、品牌形象帶來極大的負面影響；

△ 證書到期導致的企業業務意外中斷，無法正常運營，承擔資金損失；

△ 不當的證書/密鑰管理導致的審核失敗或違規；

圖：Safari瀏覽器網站證書過期樣式

如今，證書管理正成為企業的主要負擔。企業規模越大，管理問題就越嚴峻。

如何有效進行證書管理？

不知道證書何時過期？不知道有多少證書和密鑰？如何避免證書管理的痛點？蘋果Safari證書有效期政策生效后，企業將如何應對？

亞洲誠信建議：您可以通過優質的證書管理平臺，依靠自動化管理來協助證書的部署，更新和生命周期管理，以減少人員開銷和隨著證書更換頻率的增加而出現錯誤的風險。

證書智能管理軟件（CertManager）應運而生

CertManager是業內領先的集證書自動申請、部署、檢測、發現、監控、管理、告警、更新和證書品牌切換于一體的證書全生命周期智能管理系統。按照美國國家標準與技術研究院（NIST）制定的TLS服務器證書管理行業標準草案設計，通過企業信息預審核機制，以及CertManager突出的部署環境適配能力，提供OV/EV證書一鍵申請、自動部署、證書品牌快速切換等。

提供一站式證書管理閉環服務，助力企業用戶安全合規的管理SSL證書和私鑰。可有效規避因證書過期而產生的資金流失、品牌受損等后果。統一管理網關/負載設備、云服務、 WebServer的證書部署和更新，并提供 OpenAPI 與運維系統對接。同時助力企業服務快速上線，降低人工成本，規避人為失誤導致的生產事故。

? 證書自動簽發

企業信息預審機制，實現 OV/EV 證書自動簽發、快速獲取

? 證書部署

統一管理網關設備、云服務、 WEB SERVERS 的證書部署和更新，并提供 OPENAPI 與運維系統對接

? 證書檢測

CAA 統計報告、DN/SAN 合規報告、弱密鑰統計

? 私鑰保護

白盒算法加固、keyless、安全網關、短證書四種方式可選，保護私鑰的安全性

? 監控告警

持續監控證書狀態，告警異常情況

? 品牌切換

當 CA 信任受損，可快速切換證書品牌

? 用戶管理

基于角色的訪問控制，管理員、操作員和審計員

? 證書發現

對于企業已經部署的證書，可以掃描企業網段，并管理發現的證書

為幫助企業用戶從容應對此次蘋果Safari瀏覽器的證書有效期政策，亞洲誠信開通7*24小時在線咨詢服務，為您答疑解惑，并提供高效安全的解決方案。