全面封殺？超過13個月的HTTPS證書將被Safari拒絕！

上週（當地時間2月19日），在斯洛伐克舉行的CA/瀏覽器（CA / Browser）論壇會議上，蘋果公司宣佈：爲了提升網絡安全性，從2020年9月1日開始，任何有效期超過 398 天的新網站證書將不會受到Safari瀏覽器的信任，而是會被拒絕。另外，在截止日期（2020年9月1日）以前頒發的較舊證書不受此規則的影響。

這項政策的發佈意味着使用在截止時間點以後使用兩年期SSL/TLS證書的網站將在蘋果系統的瀏覽器中引起隱私錯誤，全部證書須要每一年進行續簽，以保持Safari的信任。（注意：2020年9月1日前簽發的全部SSL/TLS證書不受此政策影響）

蘋果發佈這項政策的目的是經過確保開發者使用最新加密標準的證書來提升網站的安全性，並減小被忽視的舊證書的數量，這些證書有可能被盜竊，並被用於網絡釣魚和驅動器惡意軟件***。若是研究人員或不法分子可以破解SSL/ TLS標準中的密碼，短時間證書將確保人們在大約一年內遷移到更安全的證書。

瀏覽器巨頭正逐步縮短證書有效期

2019年8月，谷歌在CA/Browser Forum 會議上就提出將 HTTPS 證書的有效期從 27 個月縮短到 13 個月的議案，最終，CA/Browser Forum 經投票否決了這項提案，SSL證書最長有效期仍爲2年。

據悉，蘋果，谷歌和CA/Browser的其餘成員考慮縮短證書有效期的問題已有一段時間，他們但願經過拒絕舊的安全證書，迫使網站管理員使用最新的加密技術更新他們的證書，而不是使用舊的、不那麼安全的證書，這還將有助於減小管理員不知道的可能已被破壞的證書的影響。

根據 W3Counter 的最新數據顯示，截至2020年1月，Safari瀏覽器的市場份額爲17.7％。僅次於Google Chrome（58.2％）。

證書管理將面臨巨大挑戰

縮短證書的有效期，經過增長證書替換的頻率，致使使用加密證書的網站全部者和企業的管理週期變得更加複雜，對許多依賴數字證書保護系統的公司來講，將帶來巨大的成本，極大加劇了企業運維管理人員的負擔，SSL/TLS證書過時所形成的後果將會不堪設想！

SSL/TLS證書過時的不利影響 ：

△ 損害企業網站的SEO排名；

△ 網站處於高安全威脅：數據和敏感信息被竊取、被篡改、被中間人***；

△ 網站公信力、品牌形象帶來極大的負面影響；

△ 證書到期致使的企業業務意外中斷，沒法正常運營，承擔資金損失；

△ 不當的證書/密鑰管理致使的審覈失敗或違規；

圖：Safari瀏覽器網站證書過時樣式

現在，證書管理正成爲企業的主要負擔。企業規模越大，管理問題就越嚴峻。

如何有效進行證書管理？

不知道證書什麼時候過時？不知道有多少證書和密鑰？如何避免證書管理的痛點？蘋果Safari證書有效期政策生效後，企業將如何應對？

亞洲誠信建議：您能夠經過優質的證書管理平臺，依靠自動化管理來協助證書的部署，更新和生命週期管理，以減小人員開銷和隨着證書更換頻率的增長而出現錯誤的風險。

證書智能管理軟件（CertManager）應運而生

CertManager是業內領先的集證書自動申請、部署、檢測、發現、監控、管理、告警、更新和證書品牌切換於一體的證書全生命週期智能管理系統。按照美國國家標準與技術研究院（NIST）制定的TLS服務器證書管理行業標準草案設計，經過企業信息預審覈機制，以及CertManager突出的部署環境適配能力，提供OV/EV證書一鍵申請、自動部署、證書品牌快速切換等。

提供一站式證書管理閉環服務，助力企業用戶安全合規的管理SSL證書和私鑰。可有效規避因證書過時而產生的資金流失、品牌受損等後果。統一管理網關/負載設備、雲服務、 WebServer的證書部署和更新，並提供 OpenAPI 與運維繫統對接。同時助力企業服務快速上線，下降人工成本，規避人爲失誤致使的生產事故。

✔ 證書自動簽發

企業信息預審機制，實現 OV/EV 證書自動簽發、快速獲取

✔ 證書部署

統一管理網關設備、雲服務、 WEB SERVERS 的證書部署和更新，並提供 OPENAPI 與運維繫統對接

✔ 證書檢測

CAA 統計報告、DN/SAN 合規報告、弱密鑰統計

✔ 私鑰保護

白盒算法加固、keyless、安全網關、短證書四種方式可選，保護私鑰的安全性

✔ 監控告警

持續監控證書狀態，告警異常狀況

✔ 品牌切換

當 CA 信任受損，可快速切換證書品牌

✔ 用戶管理

基於角色的訪問控制，管理員、操做員和審計員

✔ 證書發現

對於企業已經部署的證書，能夠掃描企業網段，並管理髮現的證書

爲幫助企業用戶從容應對這次蘋果Safari瀏覽器的證書有效期政策，亞洲誠信開通7*24小時在線諮詢服務，爲您答疑解惑，並提供高效安全的解決方案。