數位憑證生命週期正在發生重大變化,SSL/TLS 憑證的有效期正在縮短。目前,證書的有效期約為 398 天,但谷歌和蘋果等公司主張縮短證書有效期,其中蘋果提議到 2029 年將證書有效期縮短至 47 天。這項轉變旨在透過限制洩漏金鑰的利用時間來增強安全性,但這對習慣於較長續約期的 IT 團隊來說是一個挑戰。組織必須為這一轉變做好準備,採用自動化證書管理解決方案來有效管理增加的管理負擔。
數位憑證生命週期提供了一個結構化的過程,透過這個過程,數位憑證可用於安全通訊端層 (SSL) / 傳輸層安全性 (TLS) 上的通訊。證書經過驗證、頒發、部署,並最終更新(或撤銷)。儘管它表面上穩定,但其生命週期卻不斷變化。多年來,它經歷了重大變化——包括不斷努力縮短總壽命。
雖然目前的壽命通常為 398 天,但越來越明顯的是,這種現狀不會持續太久。谷歌聲稱將轉向90 天證書,這一舉動已經引發了許多討論,但蘋果渴望更進一步,將證書的有效期縮短到更短。蘋果的目標是:到 2029 年將有效期縮短至僅 47 天。
蘋果在憑證授權單位瀏覽器論壇 (CA/B Forum) 會議上宣布,提交了一份投票草案,其中提議逐步縮短 SSL/TLS 憑證的期限,直至僅 47 天。該提案由 Sectigo 贊助,整合了特定的憑證條款和提前續約窗口,同時也限制了網域控制驗證 (DCV) 的重用期限。我們將在下面分解該提案,重點介紹關鍵日期以及為數位生態系統的新常態做準備的後續步驟。
推進 47 天有效期期間的關鍵日期
蘋果提議的SSL 有效期向 47 天的轉變可能會在幾年內實現,並在此過程中實現幾個里程碑。我們稍後會詳細討論重要的日期——但就目前而言,一個特別關鍵的日期應該是 2029 年中後期。屆時,47 天的證書有效期限可能會開始生效。
請記住:目前,這仍然是一個提議。必須進行投票才能確保 47 天任期真正實施。不過,這項提議反映了業界明顯轉向縮短證書有效期的趨勢。即使蘋果不採用 47 天的提議,有限的使用壽命也可能在某種程度上發揮作用。
目前 SSL 憑證有效期限
由於允許在續約前使用一年以上,因此目前 SSL 憑證的有效期通常為相對較長的 398 天。儘管如此,許多企業仍難以跟上憑證更新,因此面臨嚴重的中斷風險。儘管如此,目前 398 天的生命週期仍有一定的緩衝空間,如果谷歌的 90 天或蘋果的 47 天的意圖得以實現,那麼這種緩衝空間將不復存在。
除了顯示縮短有效期的意圖之外,蘋果還制定了清晰的路線圖,揭示了這個過程將如何進行。蘋果不會立即將產品壽命縮短至 47 天,而是會採取漸進的過程,以更慢、更穩定的速度縮短產品壽命。
在概述此過程中的關鍵里程碑之前,值得一提的是:涉及公鑰基礎架構 (PKI) 的基本流程可能會對 Apple 縮短憑證壽命的計畫產生重大影響。這稱為網域控制驗證 (DCV),涉及憑證授權單位對請求者的網域的驗證。這是 SSL/TLS 流程的關鍵組成部分;沒有 DCV,就無法頒發或部署憑證。然而,DCV 重用使得在某些情況下可以跳過重新驗證。
考慮到這一點,計劃將有效期延長至 47 天的企業需要注意以下關鍵日期:
- 2025年9月15日。如果蘋果的提議被採納,證書有效期將縮短至總共 200 天。但提前續約的期限僅延長 20 天。至此,DCV重複利用周期將跨越200天。
- 2026年9月16日。繼一年 200 天的生命週期之後,蘋果將邁出下一步,採用 100 天的生命週期,並預留 10 天提前續約。同時,DCV重複使用周期也將縮短,達到100天。
- 2029 年 9 月中下旬可能會對 Apple 的 47 天憑證壽命計畫帶來重大變化,將網域控制驗證 (DCV) 重複使用期縮短至僅 10 天。
蘋果 47 天提案的影響
蘋果的提案體現了網路安全領域的一個主要趨勢,即較短的證書被視為解決各種安全風險的關鍵。如果私鑰洩露,較短的使用壽命會限制不法分子實際利用該金鑰的能力。不幸的是,當組織不斷努力跟上快速更新的步伐時,這些安全優勢可能很難利用。如果 47 天的提議成為現實,組織將需要升級到自動化證書管理策略。
安全優勢
隨著時間一天天過去,一週週過去,一月月過去,證書被日益複雜的威脅行為者破壞的可能性越來越大。在最壞的情況下,攻擊者濫用受損證書的時間有限。較短的有效期限也有利於提高合規性和靈活性。
IT團隊的營運負擔
儘管證書有效期短有很多好處,但對於已經很忙碌的 IT 專業人員來說,證書有效期短也會帶來重大問題。許多人都被大量的數位證書弄得不知所措,特別是如果他們仍然堅持耗時的手動流程。如果沒有簡化的自動化流程,不斷增長的續約需求可能會帶來壓力
擔憂與挑戰
隨著證書有效期不斷縮短,挑戰將會出現。雖然組織最終將受益於這些較短的生命週期所帶來的增強的安全性,但它們必須先克服一些障礙:
遺留系統和非自動化環境
儘管即使在處理更長的 397 天壽命時也強烈鼓勵自動化,但一些組織之前已經設法採用手動更新策略。這無疑給 IT 部門帶來了負擔,並可能導致勞動力成本大幅增加,人為錯誤的風險也隨之增加,但這種方法至少在較長的使用壽命內是可行的。然而,這一切都將改變,組織在採用自動化時將需要快速適應新系統。
另一個擔憂是:遺留系統通常缺乏與自動憑證管理環境(ACME)的相容性。這些系統可能更容易受到憑證過期的影響,並且可能面臨有限的可擴展性問題。
對小型企業和資源受限的組織造成壓力
雖然上述挑戰很容易襲擊各種規模和許多行業的組織,但這些問題對於小型企業來說尤其成問題——因為它們的 IT 部門可能已經承受著壓力。如果證書管理流程中沒有內建自動化功能,小型組織將面臨中斷的風險,並可能面臨各種他們可能無法解決的安全問題。
為 47 天的證書生命週期做準備:自動化的作用
目前,證書有效期縮短已經不再是是否的問題,而是何時的問題。當壽命縮短不可避免地出現時,未能做好相應準備的組織可能會陷入困境。根據目前的策略,這項工作可能涉及轉向自動化證書管理。
自動化證書生命週期管理的重要性
自動化在解決因 SSL 憑證壽命較短而增加的管理和 IT 負擔方面發揮著重要作用。尤其是自動化證書生命週期管理 (CLM) 解決方案,有望簡化複雜的流程,為過去的手動流程提供高效的替代方案。 ACME 允許自動更新,但端到端憑證生命週期管理至關重要——尤其是對於未來的企業環境。
準備基礎設施
升級證書管理解決方案之前可能需要做一些準備工作。首先,確定目前系統是否支援 ACME 和其他自動化工具。提前開始規劃基礎設施升級,因為實施這些升級可能非常耗時。
現在要採取的措施
雖然上面強調的關鍵日期看起來很遙遠,但轉向自動化解決方案可能需要時間。現在開始規劃和實施策略以緩解不可避免的向更短證書壽命的過渡非常重要。除了評估和升級基礎設施外,還可以按照以下步驟提高縮短證書有效期的準備程度:
立即採取行動
在這個不斷發展的數位環境中,自動化證書管理顯然是必須的。目標:減少手動任務並適應自動化工作流程。如果自動化尚未成為流程的一部分,那麼現在是時候開始評估 CLM 解決方案並確定它們如何融入企業安全的大局了。如果已經實現自動化,可能仍需要採取額外措施:審核目前系統以確保它們能夠滿足更短有效期所帶來的更高需求。
長期規劃
當您立即採取措施適應有限的證書有效期時,請注意策略規劃。這不僅可以決定在當前變更中如何處理憑證管理,而且可以決定在遙遠的未來如何處理憑證管理。強而有力的規劃應該能夠增強可擴展性和靈活性,同時也能提高與自動化證書管理相關的投資報酬率。
立即開始使用 Sectigo 為縮短證書有效期限做準備
無論是谷歌還是蘋果首先提出的,縮短證書有效期的計劃顯然正在醞釀中。現在是做好準備的時候了,這樣不可避免的壽命縮短趨勢才不會造成管理上的惡夢。 Sectigo 可以提供強有力的指導來幫助緩解這一轉變。
Sectigo 憑證管理員 (SCM)可自動化整個 SSL 憑證生命週期(從頒發和發現到部署和續訂),輕鬆處理大量 SSL/TLS 憑證。借助 SCM 的集中式儀表板,您可以即時查看所有證書,從而消除手動工作量並最大限度地降低意外過期的風險。