媒體示警：TLS/SSL證書有效期縮短398天變90天將導(dǎo)致故障激增

技術(shù) 2024-08-05 18:24

聲明：該文章來自（IT之家）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

谷歌開源瀏覽器項目 Chromium Project 去年發(fā)布倡議，為了構(gòu)建更安全、更快速、更穩(wěn)定的互聯(lián)網(wǎng)環(huán)境，計劃將傳輸層安全（TLS）證書的有效期從 398 天縮短到 90 天。

國外科技媒體 betanews 近日發(fā)表評論文章，表示谷歌憑借著 Chrome 在桌面瀏覽器的主導(dǎo)地位，完全可以強制推行該策略，并逐漸普及到所有瀏覽器中。

而對于使用 TLS 證書的企業(yè)（即所有將服務(wù)連接到互聯(lián)網(wǎng)的企業(yè)）來說，如果現(xiàn)在不采取相關(guān)有效的應(yīng)對措施，既有可能導(dǎo)致網(wǎng)站鏈接失效的問題。

IT之家注：TLS 證書是一種機器身份，確保系統(tǒng)能夠在互聯(lián)網(wǎng)上安全地相互通信。如果網(wǎng)站在過期前不重新簽發(fā)或更換證書，就會停止工作，導(dǎo)致代價高昂的中斷、破壞和更大的安全風險，用戶訪問就會出現(xiàn)“無法連接到不受信任的網(wǎng)站”錯誤。

不斷縮短證書有效期

2018 年，證書有效期從 5 年縮短到 2 年，2020 年又縮短到 13 個月。通常來說較短的生命周期有利于網(wǎng)絡(luò)安全，其原因有以下幾點：

如果威脅行為者設(shè)法獲得了被盜或被泄露的證書，他們利用該證書的機會窗口就會變小。
較短的生命周期還能鼓勵更有規(guī)律地輪換密鑰，簡化撤銷管理。
企業(yè)繼續(xù)使用過時加密算法的風險更小。
鼓勵企業(yè)減少對單一證書頒發(fā)機構(gòu)（CA）的依賴。

縮短至 90 天的額外負擔

90 天有效期可能會給安全團隊帶來巨大的額外負擔。鑒于最佳實踐建議在證書到期前 30 天進行更新，這就需要每年輪換六次 TLS 證書，而現(xiàn)在只需要 1 次。如果不能找到并更換所有證書，可能會導(dǎo)致重大服務(wù) / 應(yīng)用中斷。

隨著 TLS / SSL 證書數(shù)量的不斷激增，這一負擔將更加沉重。隨著證書數(shù)量的不斷增加，與機器身份管理相關(guān)的復(fù)雜性也將隨之增加。

同時，對云服務(wù)和云的依賴性增加，讓 90 天證書的相關(guān)問題更加復(fù)雜，包括了解哪些證書會過期以及如何更改。

研究顯示，截至 2021 年底，每家企業(yè)的機器身份平均數(shù)量接近 25 萬個，預(yù)計每年將增長 42%。對于員工人數(shù)超過 10,000 人的組織而言，這一數(shù)字在 2022 年初上升到 32 萬個機器身份，到 2025 年可能翻兩番，達到 130 萬個。

將這一數(shù)量與管理有效期縮短所帶來的額外負擔相乘，就會導(dǎo)致安全風險和中斷不斷上升。

縮短至 90 天可能增加商業(yè)風險

如果企業(yè)無法有效管理每年的大量更新，就可能導(dǎo)致重大故障和安全漏洞。

證書過期意味著網(wǎng)絡(luò)瀏覽器、移動應(yīng)用程序、應(yīng)用程序接口和其他機器無法對其進行身份驗證，從而導(dǎo)致應(yīng)用程序脫機。

這可能導(dǎo)致面向客戶的網(wǎng)站和關(guān)鍵的內(nèi)部應(yīng)用程序（如電子郵件服務(wù)和 VPN 連接）中斷。至少，它會導(dǎo)致網(wǎng)站出現(xiàn)瀏覽器警告，嚇跑客戶，并讓網(wǎng)絡(luò)流量被網(wǎng)絡(luò)犯罪分子截獲。

美國政府和 Spotify 等不同組織都親眼目睹了前一種情況可能造成的影響。調(diào)查顯示，在過去 12 個月中，83% 的組織遭受過與證書相關(guān)的故障，其中四分之一（26%）的組織聲稱故障影響了關(guān)鍵業(yè)務(wù)系統(tǒng)。如果縮短證書有效期，此類事件將會增加。

證書過期也會給客戶帶來風險，因為威脅者更容易成功實施網(wǎng)絡(luò)釣魚活動和中間人（MITM）攻擊。更多無法驗證和證書過期的網(wǎng)站是黑客夢寐以求的，他們會讓用戶接受錯誤并直接點擊進入他們的攻擊。