便宜SSL证书申请 发布的文章

此前阿里云和腾讯云以及其他平台都已经陆续发布通知,原本由天威诚信和亚洲诚信 (中级 CA) 提供的免费 SSL 证书有效期为 1 年,调整后证书有效期为 90 天,也就说网站必须在 90 天重新前往云平台续签证书并更新
调整后实际上对国内网站来说这些免费证书的最大优势已经没了,Let’s Encrypt 提供的免费证书也是 90 天并且提供完善的工具可以自动化申请和续签。

今天腾讯云正式按照新政策执行,据腾讯云发布的产品公告,自 2024 年 4 月 25 日 0 时起新申请的免费证书均为 90 天有效期,之前已经签发 1 年期证书则继续有效。

缩短证书有效期的同时,腾讯云还修改了免费 SSL 证书的各种限制和配额:

  1. 企业账号的免费 SSL 证书配额从 10 份提高到 50 份
  2. 个人账号的免费 SSL 证书配额维持 50 份不变
  3. 通过腾讯云平台申请的免费 SSL 证书可以绑定任意域名,不再区分腾讯云域名还是其他平台域名
  4. 免费 SSL 证书取消域名额度限制,原一个主域名最多可以申请 20 个子域名证书,即日起取消。

尽管这些云平台仍然提供免费 SSL 证书申请,不过考虑到都只有 90 天,建议开发者们不如直接使用 Let’s Encrypt,提前部署好自动化策略后基本就可以不用管了。

当然最好再搭建个 Uptime Kuma 进行证书监测,如果发现证书有效期低于 15 天说明自动化续签流程可能出问题了,此时开发者再人工干预一下即可。

比如预测市场 Polymarket 上关于 LayerZero 是否即将空投的预测中“yes”已压过了“no”;再比如基于 LayerZero 构建的上层应用 Tapioca 宣布将于 12 月 12 日进行重大更新,而该项更新的前提条件是依赖于 ZRO 进行去中心化验证;再比如与 LayerZero 团队关系莫逆的 Pudgy Penguins 首席执行官 Luca Netz 直接在 X 上喊话“已经等不及 ZRO 了”。
不过综合来看,最直观、热度最高的迹象则是暂未投入使用的「layerzero.foundation」 域名于 11 月 3 日添加了 SSL 证书。鉴于「layerzero.foundation」域名与已确定归属于 LayerZero 项目的「layerzero.network」域名过往的更新频率高度一致,所以社区猜测该域名同属 LayerZero 项目管理。

国外科技媒体 betanews 近日发表评论文章,表示谷歌凭借着 Chrome 在桌面浏览器的主导地位,完全可以强制推行该策略,并逐渐普及到所有浏览器中。

而对于使用 TLS 证书的企业(即所有将服务连接到互联网的企业)来说,如果现在不采取相关有效的应对措施,既有可能导致网站链接失效的问题。

IT之家注:TLS 证书是一种机器身份,确保系统能够在互联网上安全地相互通信。如果网站在过期前不重新签发或更换证书,就会停止工作,导致代价高昂的中断、破坏和更大的安全风险,用户访问就会出现“无法连接到不受信任的网站”错误。

不断缩短证书有效期

2018 年,证书有效期从 5 年缩短到 2 年,2020 年又缩短到 13 个月。通常来说较短的生命周期有利于网络安全,其原因有以下几点:

如果威胁行为者设法获得了被盗或被泄露的证书,他们利用该证书的机会窗口就会变小。

较短的生命周期还能鼓励更有规律地轮换密钥,简化撤销管理。

企业继续使用过时加密算法的风险更小。

鼓励企业减少对单一证书颁发机构(CA)的依赖。

缩短至 90 天的额外负担

90 天有效期可能会给安全团队带来巨大的额外负担。鉴于最佳实践建议在证书到期前 30 天进行更新,这就需要每年轮换六次 TLS 证书,而现在只需要 1 次。如果不能找到并更换所有证书,可能会导致重大服务 / 应用中断。

随着 TLS / SSL 证书数量的不断激增,这一负担将更加沉重。随着证书数量的不断增加,与机器身份管理相关的复杂性也将随之增加。

同时,对云服务和云的依赖性增加,让 90 天证书的相关问题更加复杂,包括了解哪些证书会过期以及如何更改。

研究显示,截至 2021 年底,每家企业的机器身份平均数量接近 25 万个,预计每年将增长 42%。对于员工人数超过 10,000 人的组织而言,这一数字在 2022 年初上升到 32 万个机器身份,到 2025 年可能翻两番,达到 130 万个。

将这一数量与管理有效期缩短所带来的额外负担相乘,就会导致安全风险和中断不断上升。

  数字证书颁发机构 DigiCert 在 7 月 29 日通过博客宣布将吊销没有适当域控制验证 (DCV) 的证书,大约 0.4% 的 DigiCert 适用域验证受到影响,数量可能超过数千份。根据严格的 CABF 规则,域验证中存在问题的证书必须在 24 小时内撤销,无一例外。DigiCert 已通知受影响的客户,他们必须在 24 小时内更换证书。
 次事件涉及通过添加 DNS CNAME 记录,并为此提供随机值进行域名控制验证。其中一种方法要求随机值以下划线字符为前缀,下划线前缀可确保随机值不会与使用相同随机值的实际域名发生冲突。最近,DigiCert 发现在某些基于 CNAME 的验证案例中使用的随机值中没有包含下划线前缀。虽然域名发生冲突的可能性实际上可以忽略不计,但如果验证不包含下划线前缀,则仍被视为不合规。DigiCert 表示,“CABF 认为任何与域验证有关的问题都是严重问题,需要立即采取行动。”

谷歌于 6 月 27 日发布博文,宣布将于 2024 年 11 月 1 日发布的 Chrome 127 版本开始,默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。

谷歌在博文中表示 Entrust 的行为模式令人担忧,不符合 [Chrome root 计划政策要求],削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和完整性的信心。

谷歌宣布自 11 月 1 日发布的 Chrome 127 版本开始,不再信任来自 Entrust(或 AffirmTrust)的新 TLS 服务器验证证书,IT之家从报道中获悉,终端用户后续访问使用 Entrust 证书的网站,会看到“ERR_CERT_AUTHORITY_INVALID”警告。