分类 行业新闻 下的文章

当部署SSL证书后网站仍然出现HTTPS不安全提示时,可能的原因及解决方法如下:

  1. 证书链问题:确保服务器正确配置了所有必要的证书,包括根证书、中间证书和服务器证书。如果证书链不完整,浏览器可能无法验证证书的合法性,从而显示不安全提示。
  2. 证书过期:检查SSL证书是否已过期。每个SSL证书都有有效期限,一旦证书过期,浏览器会认为该证书不安全。
  3. 非匹配的域名:SSL证书与特定域名绑定,如果使用了错误或不匹配的域名,浏览器会认为该证书存在安全风险,从而发出警告。
  4. 混合内容:如果网站同时使用了安全的HTTPS和不安全的HTTP资源,浏览器也会发出警告。例如,在HTTPS网站上引用不安全的外部图像或脚本文件。解决方案是将网站上的所有资源链接都更新为HTTPS链接,确保所有内容均通过安全的方式加载。
  5. 服务器配置问题:检查服务器软件(如Kestrel、Apache、Nginx等)是否正确配置了SSL证书和HTTPS设置。
  6. 自签名证书或不受信任的证书:如果使用的是自签名证书或小型SSL证书,它们可能不在操作系统的可信任根证书之中,浏览器会提示错误。
  7. 浏览器缓存问题:有时候,即使证书已经更新,浏览器缓存也可能导致旧的证书信息被显示。尝试清除浏览器缓存后再访问网站。
  8. 站内调用非HTTPS素材:网站内部调用的非HTTPS素材如图片、CSS、JS等可能引起不安全提示,需确保所有内容均为HTTPS链接。

如果以上方法都不能解决问题,建议联系专业的技术支持人员或网站管理员来帮助解决。

  1. Let's Encrypt:这是一个非营利性的证书颁发机构,提供免费的SSL/TLS证书,被广泛使用,超过3亿个网站使用其服务。Let's Encrypt的证书有效期为90天,但可以自动续订,实现永久免费。
  2. ZeroSSL:ZeroSSL提供终身免费的SSL证书,证书有效期为90天,但可以自动续订。他们还为有更高SSL需求的人提供了付费计划。
  3. SSLforfree:提供永久免费的SSL证书,通过域验证提供认证的非营利性利用ACME服务器。
  4. CloudFlare:Cloudflare提供免费的SSL解决方案,许多流行网站依赖Cloudflare来确保安全性和速度。要使用Cloudflare免费SSL,需要登录Cloudflare账户或创建一个,并选择要启用SSL的网站。
  5. FreeSSL.org:使用Let's Encrypt和Buypass提供永久免费的SSL证书。使用Let's Encrypt的证书有效期为3个月,而使用Buypass的有效期为6个月,所有证书均可自动续订,并提供证书到期提醒服务。
  6. acmessl.cn:acmessl携手全球权威可信顶级根,自研新一代SSL证书,全系列支持90天免费使用,支持连续签发。
  7. 阿里云:阿里云提供Digicert品牌的免费SSL证书,每个阿里云账号可免费申请20张单域名证书,免费时长为3个月。

最近,由于一起利用 .mobi域名的WHOIS服务器漏洞非法获取 TLS 证书的事件,Google 在 CA/Browser 论坛上提议禁止使用 域名注册的联系人电子邮件地址(WHOIS电子邮件) 来验证域名控制权。该提案建议从 2025 年 1 月 15 日起,禁止证书颁发机构 (CA) 使用 WHOIS电子邮件 来验证域名联系人,并禁止使用之前的WHOIS域名验证记录。

尽管 DigiCert 对当前提案持保留意见,认为其未充分考虑 ICANN 和 Amazon 提出的合理建议,但仍支持逐步淘汰过时的 WHOIS 协议。预计该提案将有很大可能通过。

对用户的影响
如果提案通过,从 2025 年 1 月 15 日起,用户将无法再使用基于 WHOIS 的电子邮件域名控制验证 (DCV) 方法来证明对域名的控制权。此外,CA 也不再基于之前的WHOIS验证记录来重新颁发或续订证书,用户需要采用其他 DCV 方法重新验证域名。

用户应采取的措施
如果提案通过,从 2025 年 1 月 15 日起,用户需要使用其他 DCV 方法来证明对域名的控制权。如果你希望继续使用邮件认证方式来证明对域名的控制权,你可以采用以下2种方式之一:

使用5个特定电子邮件地址(admin@[域名], administrator@[域名], webmaster@[域名], hostmaster@[域名], postmaster@[域名])来接收授权邮件。
创建一个DNS域名解析记录,记录类型为TXT,主机记录为_validation-contactemail,记录值为您的email地址,你将可以使用此email地址接收授权邮件。

6月27日,Google的安全团队宣布将在Chrome127及更高的版本中,不再信任自2024年11月1日以后签发的Entrust SSL证书。但在2024年10月31日以前签发的证书依然会被信任,能够继续正常工作。据悉,这一决定和Mozilla在今年3月到5月间发现Entrust存在的一系列安全错误有关,Entrust在这一系列错误中未能及时提出更正意见或解决问题,导致了Google的这项决定:
EV TLS Certificate cPSuri missing
Failed to provide a preliminary incident report according to TLS BR 4.9.5

CPR was not responded to in 24 hours

Delayed revocation of EV TLS certificates with missing cPSuri

EV Certificate missing Issuer’s EV Policy OID

Delay in Updating CPS

Failure to revoke EV TLS certificates issued before CPS update

clientAuth TLS Certificates without serverAuth EKU

Delayed revocation of clientAuth TLS Certificates without serverAuth EKU

CPS typographical (text placement) error

Delayed incident report - CPS typographical (text placement) error

Not updating Problem Reporting Mechanism fields in CCADB

OCSP response signed with SHA-1

CRL non-conformance with the TLS BRs

默认情况下,Chrome127及以后的版本,在验证到以下 Entrust 根的 TLS 服务器身份验证证书(其最早签名证书时间戳 (SCT) 的日期在 2024 年 10 月 31 日之后)将不再受信任。

CN = Entrust Root Certification Authority - EC1

CN = Entrust Root Certification Authority - G2

CN = Entrust.net Certification Authority (2048)

CN = Entrust Root Certification Authority

CN = Entrust Root Certification Authority - G4

CN = AffirmTrust Commercial

CN = AffirmTrust Networking

CN = AffirmTrust Premium

CN = AffirmTrust Premium ECC

在TLS/SSL证书有效期不断被缩短的大趋势下,我们在前文和大家聊了聊企业面临的困境、应对策略及证书自动化管理,今天想和大家继续探讨的是TLS/SSL证书自动化管理切实可行的解决方案。

01自动化证书管理的重要性TLS/SSL证书是保障网络连接安全的重要手段,它们用于加密在线数据传输,以防止恶意方监听、篡改或窃取敏感信息。然而,TLS/SSL证书有效期缩短将增加证书管理的难度和工作量,主要原因在于手动更新和部署TLS/SSL证书需要耗费大量人力资源,且容易出错,导致严重后果。为了降低风险并减少IT安全团队的工作量和难度,自动化TLS/SSL证书管理变得至关重要。

02自动化有利于解决证书有效期缩短带来的问题
TLS/SSL证书自动化管理是一种使用自动化工具和流程来管理TLS/SSL证书的方法,它可以帮助企业降低人力成本、减少错误并提高效率。目前主流证书自动化工具都是基于ACME协议进行开发和设计的,ACME协议是一种自动化的数字证书管理协议,具有提高效率、安全可靠、兼容性强等多个优点。然而,即便ACME协议具有许多优势,在帮助公司管理数字证书时仍然存在单点管理、节点分散、不支持到期预警等问题。

03安全可靠的TrustAsia证书自动化部署方案作为国内数字安全证书行业领导者,为帮助行业客户应对TLS/SSL证书自动化管理的挑战,TrustAsia推出了多种TLS/SSL证书自动化管理工具和解决方案。这些工具和方案可帮助企业更轻松地管理TLS/SSL证书,降低人力成本、减少错误和提高效率。从证书颁发到维护再到更新,TrustAsia提供的自动化管理方案涵盖了证书全生命周期。此外,TrustAsia的自动化管理方案也可以根据企业的需求进行灵活调整,以满足不同方面的需要。对于中小企业,TrustAsia 独家推出可管理ACME服务,且有对应技术专利。可管理ACME服务可以集中管理ACME客户端,解决了ACME协议只能单点管理、且节点分散带来的管理问题,从而实现了TLS/SSL证书大批量的自动化管理。另一方面,可管理ACME服务提供了证书到期预警、续期失败告警等功能,同时,通过预审核机制,也可以实现OV、EV证书的自动化生命周期管理。

TrustAsia可管理ACME服务提供了友好的交互流程,可以一键生成部署命令,提供的统计报表和可视化的仪表盘可以大幅度降低用户的证书管理难度,进而尽可能满足中小企业TLS/SSL证书自动化管理需求。对于大中型企业实现TLS/SSL证书自动化所面临的挑战,如私有化部署、私钥安全存储等,TrustAsia研发了TLS/SSL证书自动化管控系统CertManager。CertManager可以实现大批量TLS/SSL证书全生命周期自动化集中管理,同时提供完善的私钥安全存储、证书发现、证书管理、证书监控、批量部署、品牌切换、主动切换证书等功能,且适配能力强,可以适配多种部署环境,从而助力企业进行证书自动化部署、降低人力成本,规避人为失误导致的生产事故。CertManager可以帮助企业建立和运行更完善的证书管理机制和安全机制,从而尽可能从容应对TLS/SSL证书在未来可能面临的任何挑战。更多关于原生ACME、可管理ACME、CertManager 功能的异同,可查看图片。