然而苹果和谷歌都希望继续缩短数字证书有效期以提高安全性,其中谷歌希望将数字证书有效期缩短到 90 天,而苹果更激进,现在苹果竟然想将数字证书有效期缩短到 45 天。
苹果的这项提案为投票表决草案,很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票,如果获得大多数成员赞成,则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。
当然其他浏览器例如谷歌 Chrome 可能也会及时跟进,到时候 SSL/TLS 证书将逐渐向 45 天过渡,这确实可以提高安全性但也会给复杂的企业系统带来麻烦。
为什么缩短到 45 天可能会引起麻烦:
尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签,但并非每个网站和企业都可以轻松部署自动化续签流程,尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。
在 Reddit 论坛上有数百名系统管理员抱怨苹果的这项提议,因为缩短证书有效期后剩余的工作都要系统管理员承担,尤其是如果管理多个网站那么工作量将会显著提升 (假如无法实现自动化续签)。
目前还不清楚 CA 即数字证书颁发机构们的态度,苹果作为浏览器开发商实际上强势于 CA 机构的,哪怕苹果一意孤行那 CA 机构也必须同意否则证书将无法兼容 Safari 浏览器。
苹果提出的建议时间表如下:
到 2025 年 9 月后:将所有新签发的 SSL/TLS 数字证书有效期缩短至 200 天
到 2026 年 9 月后:将所有新签发的 SSL/TLS 数字证书有效期缩短至 100 天
到 2027 年 4 月后:将所有新签发的 SSL/TLS 数字证书有效期缩短至 45 天
到 2027 年 9 月后:将域控验证技术 (DCV) 的有效期缩短至 10 天
目前全球市场上声称提供电子邮件端到端加密的厂商很多,各种五花八门的说辞让用户不知如何选择真正有效的端到端加密解决方案,本文就讲清楚什么才是真正的端到端加密,用户应该选择什么样的端到端加密才能真正保护自己的邮件机密信息安全。
一、 什么是端到端加密?为何电子邮件需要端到端加密?
端到端加密(End-to-End Encryption,简称E2EE)就是信息从发送端一直到接收端都是加密的,比如常用的网站HTTPS传输加密,从用户浏览器发送到服务器端的信息就是通过SSL加密通道传输的,属于端到端加密。只有实现了端到端加密才能保证机密数据在传输过程中不会被非法窃取和非法篡改,才能保证机密信息在传输过程保持加密状态而保障机密信息传输安全。
电子邮件通信是发件人把信息从自己的电脑发送到收件人的电脑中的信息传输过程,同HTTP协议不同的是:电子邮件不是直接从发件人端发送给收件人端,而是通过双方的邮件服务器中转,这个特点注定了不能采用HTTPS加密一样的技术方案来实现端到端加密。也正是由于邮件是通过邮件服务器先保存后转发的这个特点决定了电子邮件需要端到端的加密,因为有第三方(邮件服务器)在接管这个传输过程,并且电子邮件会长期保存在邮件服务器中,除非用户自己彻底删除。
电子邮件端到端加密是指电子邮件在发送之前已经加密,以密文方式发送给收件人,这样,负责中转的邮件服务器也只能是以密文方式转发,也只能是以密文方式保存,只有这样才能保证电子邮件是真正的全程端到端加密的。
二、 实现电子邮件端到端加密有哪些技术方案?什么技术方案才是真正的电子邮件端到端加密?
我们先看看市场上流行的TLS邮件加密技术,这个技术当然是从HTTPS加密借鉴过来的,但是如上段文章所讲,邮件传送过程同HTTP传输过程是不同的,如下图所示,TLS邮件加密技术是在邮件服务器上部署SSL证书实现 SSL IMAP和SSL SMTP加密传输,电子邮件从张珊邮件客户端通过TLS加密通道把电子邮件发送到张珊的邮件服务器中,能保证传输安全。张珊的邮件服务器把此邮件保存在张珊的邮箱中后把此邮件发送到收件人李诗的邮件服务器中,这个传输过程是否能实现TLS传输加密取决于李诗的邮件服务器是否支持SSL SMTP协议,如果支持,则能实现TLS传输加密,如果不支持,则只能明文传输,这就不是端到端加密了。所幸的是,目前大多数邮件提供商都已经支持SSL SMTP协议,所以电子邮件仍然可以加密方式达到李诗的邮件服务器,李诗则继续使用TLS传输加密从邮件服务器获取张珊发给他的电子邮件。
电子邮件端到端加密
请注意:以上解决方案的邮件内容在用户端和邮件服务器端都是没有加密的明文邮件,电子邮件内容明文保存在邮件服务器中。TLS邮件加密技术方案只解决了电子邮件的传输过程加密,并不解决电子邮件内容加密的难题。
再请看下图所示的,电子邮件在张珊电脑在发送之前就已经加密,无论邮件服务器是否支持SSL STMP协议都可以保证电子邮件以密文方式传输和密文保存在邮件服务器中,这就是端到端加密,中间负责转发和存储的邮件服务器也不能看到已加密的邮件内容,邮件服务提供商无法通过机读邮件内容而推送内容相关的广告,这就保护了邮件机密信息安全。
全世界有超过50亿个活跃的电子邮件账户,每月发送的电子邮件超过40亿封;
90%的网络攻击从网络钓鱼邮件开始,这些网络钓鱼邮件由于没有包含可能被邮件服务提供商拦截的恶意附件而顺利进入用户收件箱;
97%的人无法准确识别网络钓鱼邮件诈骗,30%的网络钓鱼邮件被用户打开阅读,甚至点击了其中的链接;
Gmail每天阻止超过1亿封网络钓鱼电子邮件。
从这些统计数据可以看出:电子邮件安全问题已经不再是传统的防垃圾邮件和防恶意附件等安全问题,而是要解决钓鱼邮件攻击问题。
随着绝大数用户都已经完成了邮件服务迁移到云上,并且许多云邮件服务提供商不限邮箱容量,使得电子邮件已经从消息通信转变为各种内容的存储库。个人邮箱变成了从过去到现在数字生活的博物馆,容纳一切从银行对账单、话费清单、网购确认单、快递通知单、电子发票、健康体检记录到税务文件等等。而对于企业单位邮箱,电子邮件每天收集同同事、外部供应商和客户的往来通信,还有内部备忘录、财务数据、合同、员工记录、客户数据、研发资料、销售文档等大量其他敏感机密内容。也就是说,今天的电子邮箱不再是收件箱,更像是一个文件柜。这就要解决如何保证文件柜中保存的文件的安全问题,如何保证这些含有机密信息的文件在云中的安全问题。
卖的最好的那家店,单域名9元/个/年,Sectigo品牌,月销量大概一千,
渠道来源是uk2的无限ssl,便宜一年单域名是刚需,这个业务可以长期做,
有实力的mjj可以搞一下
没弄过的以为很简单
其实麻烦死 这几块钱不赚 都懒得搭理这些客户
这么说吧 这些客户基本啥都不懂 哪怕稍微懂点 也知道有免费ssl证书 也会用宝塔 自动申请
这些人伺候起来能累死 赚这几块钱 可能要问你一百个问题 弄不好还申请退款 投诉你