欢迎来到蔚可云!
打开客服菜单
蔚可云
当前位置: 模板网站 > 常见问题 > 如何实现企业SSL证书有效管理和监控?
如何实现企业SSL证书有效管理和监控?
时间 : 2021-04-25 14:06 浏览量 : 9


此前,许多苹果用户看到系统不断地弹窗无法验证服务器身份,包括iOS、iPadOS以及 macOS系统全部如此。在弹窗中苹果标注不能验证「appleimap.163.com」的身份,简单来说就是这个域名的 HTTPS 证书无法被信任。至于不能被信任的原因非常简单,网易邮箱忘记给服务器更换新证书,导致原证书到期后无法进行验证。



image

运维又成了背锅侠,原因很简单,因为运维人员没有在用户之前发现证书过期并及时更换。

值得庆幸的是,该事件在接到用户反馈之后及时更换了服务器证书,未酿成重大信息安全攻击事件,若是对网易用户引起信息泄密事件,运维人员也将沦落“跑路”的下场。


一、关于数字证书

其实像这类忘记续期和更换数据证书的错误,在很多企业里面都是可能会发生。因为企业内部的应用中,运维面向各式各样的应用系统,这类证书基本都是2年才更换一次。如果没有及时进行检测和通知,则经常被遗忘在运维忙碌的技术支持工作中。


二、SSL证书过期,后果挺严重

我们都知道,SSL证书有助于对传输中的数据进行加密。通过在网站的服务器上安装SSL证书,通过HTTPS托管该证书,并在网站与其访问者之间创建安全的加密连接。这样既可以保障沟通,SSL还能对服务器进行身份验证。


但SSL证书并不是永久有效的。在今年九月份之前,全球SSL证书的最长有效期是27个月,而在今年的9月1日后,SSL证书的最长有效期被限制在398天以内。也就是说,现在起每个安装了SSL证书的网站需要每年更新或者替换SSL证书一次,不然将会过期,变为无效证书。
证书无效又会怎样?当用户浏览你的网站时,浏览器会在毫秒内检查SSL证书的有效性(这是SSL握手的过程)。如果证书已过期,则会发出如下警告:
image
图片
试想,如果是你访问到这样一个网站看到这么多的警示,你还敢再逗留或者再继续访问吗?



三、如何避免SSL证书过期?

许多的企业在证书管理方面存在一系列不同的问题。中小企业(SMB)可能只有一个或少数几个证书,而大型企业公司的网络比较庞大,连接的设备众多,覆盖面广,SSL证书布置广泛。无论是中小型或者大型公司,可能由于管理不规范、缺乏专业性等原因,会造成一定的疏漏。

1、自动化管理  

无论是企业或者个人网站,任何级别避免这些问题的最佳方法就是自动化,选择专业的自动化数字证书管理服务平台。该技术主要通过ACME协议来实现。IETF将ACME协议作为标准,ACME 协议通过在给定 Web 服务器上安装证书管理代理来运行。组织或域名在一开始就需要经过验证,证书管理代理协助域名操作验证,一旦完成,代理可以请求,续订和撤销证书。证书管理代理可以自动化,以固定的时间期限与 CA 签约,更换或延续证书和密钥。这些都不需要人为干预。

2、非自动化管理 

首先要找一个专业靠谱的CA或者SSL服务单位,他们会有健全的证书管理平台和良好的服务意识,只要你的联系方式正确地记录在相关系统,他们就会在证书到期前的90天、30天进行提醒,可以帮助企业在整个基础架构中查看和管理数字证书。

企业有网络管理人员的人事变动,需要随时与SSL证书服务单位进行联系确认该管理人员的通讯方式更改情况,以便日后进行有效联系。另外,确保定期登录证书购买系统页面,以便在即将进行续订时可以随时得到通知。

确定有效期限,以随着到期日期的临近而逐步提升提醒。

忘记续订或替换即将到期的SSL证书对任何人都可能发生。但是,有很多操作可以帮助你将这样的风险降至最低。要么选择自动化,要么就需要具有可见性和良好的沟通渠道,以便你可以提前解决SSL到期和续费的问题。


蔚可云注重与合作客户的长期发展并朝着“延伸产品链,扩大服务规模”的目标不断前进,旨在以数字化技术赋能企业,以新科技推动各行业数字化未来发展。


文章来源网络资料整理,侵权请联系删除


标签:
// language用于控制访客端展示的语言类型,language=ZHCN为中文,language=EN为英文,您可按需设置一种语言类型
cache
Processed in 0.146323 Second.