谷歌開(kāi)源瀏覽器項(xiàng)目 Chromium Project 去年發(fā)布倡議，為了構(gòu)建更安全、更快速、更穩(wěn)定的互聯(lián)網(wǎng)環(huán)境，計(jì)劃將傳輸層安全（TLS）證書(shū)的有效期從 398 天縮短到 90 天。

國(guó)外科技媒體 betanews 近日發(fā)表評(píng)論文章，表示谷歌憑借著 Chrome 在桌面瀏覽器的主導(dǎo)地位，完全可以強(qiáng)制推行該策略，并逐漸普及到所有瀏覽器中。

而對(duì)于使用 TLS 證書(shū)的企業(yè)（即所有將服務(wù)連接到互聯(lián)網(wǎng)的企業(yè)）來(lái)說(shuō)，如果現(xiàn)在不采取相關(guān)有效的應(yīng)對(duì)措施，既有可能導(dǎo)致網(wǎng)站鏈接失效的問(wèn)題。

IT之家注：TLS 證書(shū)是一種機(jī)器身份，確保系統(tǒng)能夠在互聯(lián)網(wǎng)上安全地相互通信。如果網(wǎng)站在過(guò)期前不重新簽發(fā)或更換證書(shū)，就會(huì)停止工作，導(dǎo)致代價(jià)高昂的中斷、破壞和更大的安全風(fēng)險(xiǎn)，用戶訪問(wèn)就會(huì)出現(xiàn)“無(wú)法連接到不受信任的網(wǎng)站”錯(cuò)誤。

不斷縮短證書(shū)有效期

2018 年，證書(shū)有效期從 5 年縮短到 2 年，2020 年又縮短到 13 個(gè)月。通常來(lái)說(shuō)較短的生命周期有利于網(wǎng)絡(luò)安全，其原因有以下幾點(diǎn)：

• 如果威脅行為者設(shè)法獲得了被盜或被泄露的證書(shū)，他們利用該證書(shū)的機(jī)會(huì)窗口就會(huì)變小。

• 較短的生命周期還能鼓勵(lì)更有規(guī)律地輪換密鑰，簡(jiǎn)化撤銷(xiāo)管理。

• 企業(yè)繼續(xù)使用過(guò)時(shí)加密算法的風(fēng)險(xiǎn)更小。

• 鼓勵(lì)企業(yè)減少對(duì)單一證書(shū)頒發(fā)機(jī)構(gòu)（CA）的依賴。

縮短至 90 天的額外負(fù)擔(dān)

90 天有效期可能會(huì)給安全團(tuán)隊(duì)帶來(lái)巨大的額外負(fù)擔(dān)。鑒于最佳實(shí)踐建議在證書(shū)到期前 30 天進(jìn)行更新，這就需要每年輪換六次 TLS 證書(shū)，而現(xiàn)在只需要 1 次。如果不能找到并更換所有證書(shū)，可能會(huì)導(dǎo)致重大服務(wù) / 應(yīng)用中斷。

隨著 TLS / SSL 證書(shū)數(shù)量的不斷激增，這一負(fù)擔(dān)將更加沉重。隨著證書(shū)數(shù)量的不斷增加，與機(jī)器身份管理相關(guān)的復(fù)雜性也將隨之增加。

同時(shí)，對(duì)云服務(wù)和云的依賴性增加，讓 90 天證書(shū)的相關(guān)問(wèn)題更加復(fù)雜，包括了解哪些證書(shū)會(huì)過(guò)期以及如何更改。

研究顯示，截至 2021 年底，每家企業(yè)的機(jī)器身份平均數(shù)量接近 25 萬(wàn)個(gè)，預(yù)計(jì)每年將增長(zhǎng) 42%。對(duì)于員工人數(shù)超過(guò) 10,000 人的組織而言，這一數(shù)字在 2022 年初上升到 32 萬(wàn)個(gè)機(jī)器身份，到 2025 年可能翻兩番，達(dá)到 130 萬(wàn)個(gè)。

將這一數(shù)量與管理有效期縮短所帶來(lái)的額外負(fù)擔(dān)相乘，就會(huì)導(dǎo)致安全風(fēng)險(xiǎn)和中斷不斷上升。

縮短至 90 天可能增加商業(yè)風(fēng)險(xiǎn)

如果企業(yè)無(wú)法有效管理每年的大量更新，就可能導(dǎo)致重大故障和安全漏洞。

證書(shū)過(guò)期意味著網(wǎng)絡(luò)瀏覽器、移動(dòng)應(yīng)用程序、應(yīng)用程序接口和其他機(jī)器無(wú)法對(duì)其進(jìn)行身份驗(yàn)證，從而導(dǎo)致應(yīng)用程序脫機(jī)。

這可能導(dǎo)致面向客戶的網(wǎng)站和關(guān)鍵的內(nèi)部應(yīng)用程序（如電子郵件服務(wù)和 VPN 連接）中斷。至少，它會(huì)導(dǎo)致網(wǎng)站出現(xiàn)瀏覽器警告，嚇跑客戶，并讓網(wǎng)絡(luò)流量被網(wǎng)絡(luò)犯罪分子截獲。

美國(guó)政府和 Spotify 等不同組織都親眼目睹了前一種情況可能造成的影響。調(diào)查顯示，在過(guò)去 12 個(gè)月中，83% 的組織遭受過(guò)與證書(shū)相關(guān)的故障，其中四分之一（26%）的組織聲稱(chēng)故障影響了關(guān)鍵業(yè)務(wù)系統(tǒng)。如果縮短證書(shū)有效期，此類(lèi)事件將會(huì)增加。

證書(shū)過(guò)期也會(huì)給客戶帶來(lái)風(fēng)險(xiǎn)，因?yàn)橥{者更容易成功實(shí)施網(wǎng)絡(luò)釣魚(yú)活動(dòng)和中間人（MITM）攻擊。更多無(wú)法驗(yàn)證和證書(shū)過(guò)期的網(wǎng)站是黑客夢(mèng)寐以求的，他們會(huì)讓用戶接受錯(cuò)誤并直接點(diǎn)擊進(jìn)入他們的攻擊。

自動(dòng)化方案依然存在挑戰(zhàn)

要大規(guī)模緩解這些挑戰(zhàn)，唯一的辦法就是在機(jī)器身份管理中實(shí)現(xiàn)自動(dòng)化。在動(dòng)態(tài)和短暫的云原生環(huán)境中，必須建立一個(gè)控制平面來(lái)管理機(jī)器身份的整個(gè)生命周期，并在數(shù)據(jù)中心和多個(gè)云中實(shí)現(xiàn)自動(dòng)化。

人們一直希望 ACME 等技術(shù)和 certbot 等開(kāi)源軟件能讓自動(dòng)化變得一勞永逸。但挑戰(zhàn)在于，僅靠這些技術(shù)并不能確保更改已經(jīng)完成，也不具備指揮自動(dòng)化機(jī)器人陣列的能力。