很多部署了HTTPS加密协议的网站,也可能在访问时发现安全证书存在问题,提示已过期或尚未生效。证书过期后会发生什么情况?或者换一种说法如果不及时续订SSL证书会发生什么情况?
答案是死亡。因为死亡证明上,它的死因写着:“证书过期。”
//SSL证书过期后会发生什么?//
SSL证书有助于加密传输中的数据。通过在网站的服务器上安装SSL证书,它能够让HTTPS托管网站,并在网站和它的访问者之间创建一个安全的、加密的连接。这能够保障通讯安全,SSL还能对服务器进行身份验证。
然而,SSL证书不会永远有效。它们会过期。行业中有一个论坛证书机构/浏览器论坛(CAB论坛),它是SSL/TLS行业的实际监管机构。
CAB论坛会指定证书机构在签发可信SSL证书时必须遵守的基线要求。这些要求规定SSL证书的生命周期不能超过27个月(2年+在之前的证书还有剩余时间并对它进行续订时,可最高设置三个月)。
这意味着所有网站都需要至少每隔两年对其SSL证书进行续订或替换。因此,当SSL证书过期后会发生什么情况?情况可能是你所无法想象的。
当用户的浏览器抵达你的网站时,它会在一毫秒之内对SSL证书的有效性进行检查(它是SSL握手的一部分)。
想必很多网管或者站长都懂,警告信息在本质上会对网站的浏览和销售造成致命打击吧——无论使用的是何种价值衡量指标。尽管大多数浏览器确实提供了点击跳过警告信息的选项,但几乎很少有浏览器这么做。
一般的互联网用户可能并不知道非常多有关网络安全的知识,但是他们知道两件事:计算机是昂贵的,而恶意软件会损害计算机。因此,如果他们的浏览器告诉他们网站不安全,或者在这种情况下他们的连接是不安全的,他们很有可能就会听从警告信息,不再访问网站。
//SSL证书为什么会过期?//
SSL证书有两大作用:加密和身份认证。后者是导致证书过期的最大的原因。所有SSL证书都会一些东西进行身份验证,甚至域名验证证书还会对服务器进行身份认证。与所有形式的身份认证一样,我们需要偶尔对自己正在使用的信息进行重新验证,以确保它是准确的。
在互联网上尤其如此。事物时刻都在变化。网站的所有者在不断变化,各公司也在不断进行出售和收购。而SSL/TLS基于的是一个可靠的模式,而这个模式可能会被这些变化所破坏。
因此,对于那些签发可靠证书的证书机构来说,他们要确保用来验证服务器和组织的信息是最新的、准确的,这一点十分重要。
如果有什么东西的生命周期会缩短的话,那一定是证书的生命周期。SSL证书曾经可以签发最高5年的生命周期。
然后缩短到了3年。然后又是2年——这还是一个折中方案,因为谷歌最初的提议是1年。为了,证书的有效期可能会缩短至3到6个月。
然而,身份认证方面的因素并不是证书过期的唯一原因。证书的有效期越短,该行业尽快推出更新也就更容易。例如,几年前,SSL/TLS行业弃用了SHA-1散列算法。
正如所有曾经购买过SSL证书的人所知道的,在进行生成的过程中你会选择散列算法。如果有效期为三年,在一些情况下,可能必须等待长达39个月的时间,然后证书才会过期,达到截止时间,然后该网站才会弃用SHA-1。
//如何避免SSL证书过期?//
当涉及到证书管理时,各规模大小的企业都存在一些不同的问题。尽管中小型企业可能只拥有一个或少量证书,但企业级别的公司通常都拥有庞大的网络,无数的联网设备,还有许多其他方面的事宜需要考虑。在企业级别,SSL证书过期通常是监督不善的结果。
避免证书过期的建议。
1.CA机构们都会在过期前90天内以固定的时间间隔向企业发送过期通知。确保企业对这些提醒进行了设置。当证书过期的时候前,企业需确保这些通知能收到。
2.找一个认真负责的CA机构,企业业务面临的最大的挑战之一是可见性。认真负责的CA机构可以帮助企业在整个基础设施中查看和管理数字证书。另外,确保定期进行登录,这样就可以在需要续订时做好准备。
任何人都有可能忘记续订或替换即将过期的SSL证书。但是有很多工具可以帮助其中降低存在的风险。正如我们所讨论的,关键是要拥有可见性和良好的沟通渠道,这样就可以避免证书过期。