免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来!

已于 2024-09-09 19:04:04 修改
阅读量471 收藏 8
点赞数 8
分类专栏: 业务 文章标签: ssl 自动化 网络协议 https
于 2024-09-09 19:03:25 首次发布
本篇文章源自石宗昊 个人主页:https://www.2048.top
本文链接:https://blog.csdn.net/weixin_44578029/article/details/142062274
版权

目录

背景

最近我使用的SSL证书到期了,之前都是一年一次申购,一次申请一年,然后手动进行更换,
但是今天发现,再次申请的免费证书,只可以使用3个月(90天),
这就意味着,由之前每年一更换的证书,变成了3个月,很难受。

随后,我进行了一些调研咨询,结合自身的理解,目前有以下几个

解决方案。

1.使用自签证书(浏览器报警、免费)

acme.sh是github上的一个开源项目,实现了acme协议, 可以从letsencrypt生成免费的证书。
官方文档(官方文档的使用说明很详细,推荐阅读):
英文:https://github.com/acmesh-official/acme.sh
中文:https://github.com/acmesh-official/acme.sh/wiki/说明
参考链接https://blog.csdn.net/weixin_43735348/article/details/105311767

2.更换支持自签自续的CA机构(免费)

使用可以自动续签的,或者自动更换的,由浏览器认可的CA证书(比如OHTTPS),这种的自动更新ssl,有cdn的可以同步刷新,还支持泛域名。
以下两个是实例,我没用过
https://ssl.juyun.top/
https://www.ohttps.com/

3.付费选择CA机构

选择CA机构时,SSL证书品牌并不多,如果按照99.9信任度,交叉链不超过2级以上的,仅有:GlobalSign、DigiCert、Entrust,三家颁发机构。建议参考三项SSL证书颁发机构标准选择。贵之外没啥缺点 屏蔽问题都好了很多

参考如下:
一、包括古老的操作系统及设备默认根证书信任、浏览器可信度达到99.9%。
二、SSL证书链包括服务器(域名)证书不超过三级。组成具体:一本根证书、一本中间证书、一本服务器证书,组成的证书链。
三、SSL证书中间证书必须是根证书厂方品牌,禁止使用委托PKI品牌名称。
四、颁发机构5年内未出现重大网络安全事件。
五、合法性中国境内有合法性单位(合资或外企)登记。
六、ocsp服务器全球化统一网络。
在这里插入图片描述

免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来

https://baijiahao.baidu.com/s?id=1763112984966001772&wfr=spider&for=pc

免费的SSL证书有以下弊端

1.有效期短:

免费SSL证书的有效期通常很短,比如只有1个月或3个月,这导致网站管理员需要频繁地更新证书,增加了管理负担。与之相比,付费证书的有效期一般更长,可达一年或更久。频繁的证书更换不仅耗时,还可能导致因忘记更新而出现证书过期的情况,影响网站的正常访问。

2.兼容性问题:

一些免费SSL证书可能在不同浏览器和操作系统上的兼容性较差,导致部分用户访问时遇到警告或无法正常访问,影响用户体验和网站流量。

3.不稳定性和撤销风险:

免费SSL证书有可能被证书颁发机构随时撤销,且在撤销后可能没有明确的通知机制,这给网站的稳定运营带来不确定性。同时,由于缺乏商业保险和合同保障,一旦出现问题,使用者可能无法获得赔偿或法律支持。

4.安全性与信任度:

免费SSL证书在身份验证方面可能不够严格,有的仅提供域名验证(DV),而不包括组织验证(OV)或扩展验证(EV),这使得它们在建立网站的信任度方面不如付费证书。此外,部分浏览器和用户可能对免费证书持有更高的警惕,认为它们不如付费证书可靠。
技术与客户服务支持:免费SSL证书往往缺乏全面的技术支持和客户服务,当遇到安装、配置或其它问题时,用户可能得不到及时有效的帮助,增加了使用难度和潜在的风险。

5.加密强度:

免费证书可能提供的加密强度较低,不足以应对复杂的网络安全威胁,而付费证书通常提供更高级别的加密算法,确保数据传输的安全性。

6.品牌形象:

对于企业而言,使用付费SSL证书可以在一定程度上提升品牌形象,展示公司对用户数据安全的重视,而免费证书可能不足以传达这种专业性和责任感

browser

下述,这四家代表browser(浏览器)
1.微软:Edge、Internet Explorer
2.苹果:Safari
3.谷歌:Chrome
4.Mozilla:Mozilla Firefox(火狐)

谷歌提议将SSL证书有效期缩短至90天

网站安全又遇新问题?谷歌提议将SSL证书有效期缩短至90天!
使用免费证书的站长们,都有这个疑问,以前都是一年现在直接90天一下缩减3/4
但是,实际上SSL证书有效期缩短至90天这个提议是由谷歌提议并推动的.

本次谷歌的提议,声明将通过“未来的政策更新或CA/B论坛投票提案”来执行,
但实际上,CA/B的信息没有意义,因为整个SSL体系是由B来说了算的,CA说白了就是参与方,象征性的投票。
因为如果CA或者其他的B不同意,谷歌大概率会走“政策更新”这条苹果走过的老路了,
作为 Chrome 根程序的要求,来单方面强制执行此更改,并且让其成为每个商业公共CA都不得不遵循的事实标准。

本次缩短至90天,没有强制执行,只是browser方的四个同意了,等同于同意执行,
浏览器执行信任根政策,只要b的四个同意执行就是没跑了。

未来或将强制缩短SSL证书为7天一次签发

谷歌最新的提议将SSL证书有效期缩短为7天,,提议是否落实,就要看其他的browser是否同意了,目前还没有任何提交讨论的实际行动,但不排除,Chrome进行 “政策更新”,作为 Chrome 根程序的要求,来单方面强制执行此更改。强制执行

为什么由浏览器(browser)去决定CA的生死?

浏览器来管理CA。

browser不做信任根,只是做浏览器去信任某个根证书,这四家没有一家浏览器是卖证书的,他们是作为浏览器一方来管理CA,并且browser的决策,是直接到影响这些CA机构,
由于浏览器信任根机制,导致他们对于CA有约束力,通常来讲一些决策需要上述的browser全部同意才能执行,

大家所熟知的,globalsign、科摩多这种不过就是CA机构,而已下图所示
在这里插入图片描述
在这里插入图片描述

被浏览器封杀的CA

browser就是负责管理CA的,如果没有按照规则执行那么结果就是和沃通一样,沃通以及沃通签发的所有证书全部失效

沃通

比如,当年沃通就是被这么搞死了,不过也是作死,子域名能签出来根域名

在这里插入图片描述

赛门铁克

谷歌怒了 宣布将不再信任赛门铁克SSL证书

提议缩短SSL签发有效期的目的是什么?

是为了赚CA的保护费吗?

是想让CA给它交保护费?交了钱就可以一年签发?

没必要,因为就算不这么做CA也要交保护费, 不管怎么样CA一样要交保护费,CA交的钱一点也不少
而且,做浏览器的怎么会馋CA赚的钱,除了Mozilla,这家比较特殊以外,其他自己业务早就赚翻天了,做浏览器的都是大公司,不在意这点的,安全考量确实有必要。反正这四家除了Mozilla缺钱,其他的压根看不上

CA能赚钱的业务是OV EV而非DV
而OV EV这些要审核的,缩短了SSL的签发有效期,会加大CA的工作压力,算上审核,签发,调试的时间,真搞成7天估计每天都在更新证书。

安全性

因为过长的证书时间泄露风险就会越大,
而且谷歌的最终目的就是,像cloudflare那样,让所有网站可以自动更新SSL,证书部署自动化,泛域名、更新CDN。

所以,谷歌有点太理想了,一直都是浏览器这边再强行推进,CA机构是很反对缩短时间的。

结论

CAB联盟以前是听CA的话,后来浏览器这边搞了一套信任策略,然后现在就是CA听B的话

石宗昊
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
12-12 3万+
🔴 K8s(二):集群部署----->超详细
使用Docker-Compose部署MySQL一主二从同步高可用MHA集群
Java程序员廖志伟
01-05 1786
使用Docker-Compose部署MySQL一主二从同步高可用MHA集群,图文视频结合。
SaltStack自动化运维工具
W--\\_//的博客
11-01 743
SaltStack自动化运维工具SaltStack的安装master主机node01主机SaltStack认证机制 主机名 IP 系统版本 硬件 master 192.168.164.133 Redhat 8.2 CPU4核、内存8G以上 node01 192.168.164.128 Centos 7.0 CPU4核、内存5G以上 SaltStack的安装 master主机 //第一步改主机名、关防火墙!!! [root@localhost]# hostnamectl set-hos
理解SSL/TLS系列 (三) 证书和PKI
zhanyiwp的博客
04-21 2191
一、为什么需要证书 在上一篇文章中我们谈到了数字签名,数字签名可以识别篡改或者发送者身份是否被伪装,也就是验证消息的完整性,还可以对消息进行认证。还可以防止抵赖。也谈到了数字签名无法抵御中间人攻击,那么什么是中间人攻击呢? 如图所示,攻击者位于发送者和接收者中间,对发送者伪装成接收者,对接收者伪装成发送者。以此来进行欺上瞒下。 这里的关键问题就是发送者Alice没办法确认收到的公钥就是...
运维(自动化运维工具ansible|zabbix|jumpserver部署详细步骤)
weixin_56056642的博客
09-14 1122
数据通信是数据在网络上传输的一个过程,需要硬件和软件、协议。网关:提供协议转换、路由选择、数据交换等功能的网络设备路由器:为报文选择传递路径的网络设备数据载荷:要传递的信息报文:网络中交换与传输的数据单元头部:在数据载荷前面添加是信息段尾部:在数据载荷后面添加的信息段,有些报文需要长度过长,填充满足长度要求,不一定要有、根据协议要求封装:对数据载荷添加头部和尾部、获取数据载荷的过程解封装:去掉报文的头部和尾部、获取数据载荷的过程。
沃通SSL证书登陆阿里云平台云盾证书服务
chuisanchi9688的博客
04-18 351
  4月14日,沃通SSL证书正式登陆阿里云平台云盾证书服务,成为阿里云平台首个数字证书合作伙伴,联手打造“云平台+HTTPS加密”安全生态链。沃通SSL证书将为阿里云平台用户,提供强大的SSL加密保护,保障用户、应用程序和服务器之间的数据传输安全,同时为云服务器提供关键认证,构建更加安全可信...
1、hadoop3.1.4简单介绍及部署、简单验证
热门推荐
alanchanchn的专栏
04-23 5万+
Hadoop是Apache旗下的一个用java语言实现开源软件框架,是一个开发和运行处理大规模数据的软件平台。允许使用简单的编程模型在大量计算机集群上对大型数据集进行分布式处理。HDFS(分布式文件系统):解决海量数据存储YARN(作业调度和集群资源管理的框架):解决资源任务调度MAPREDUCE(分布式运算编程框架):解决海量数据计算Hadoop通常是指一个更广泛的概念——Hadoop生态圈。
自动化运维工具 puppet
老康学Linux
08-09 3234
puppet puppet 1.什么是puppet 2.puppet的工作过程 3.puppet的安装 Package Arch Version Repository Size Transaction Summary Package Arch Version R...
SaltStack 部署
多回访
11-01 289
自动化管理工具puppetansiblesaltstack puppet puppet 特点: puppet与其他手工操作工具有一个最大的区别是 puppet的配置具有稳定性,因此你可以多次执行puppet,一旦你更新了你的配置文件,puppet就会根据配置文件来更改你的机器配置,通常每30分钟检查一次. puppet会让你的系统状态同配置文件所要求的状态保持一致. 比如你配置文件里面要求ssh服务必须开启. 假如不小心ssh服务被关闭了,那么下一次执行puppet的时候,puppet会发现这个异常,然后
使用docker-compose部署MySQL三主六从半同步集群(MMM架构)
Java程序员廖志伟
03-14 474
🌟我是廖志伟,一名Java开发工程师、Java领域优质创作者、CSDN博客专家、51CTO专家博主、阿里云专家博主、清华大学出版社签约作者、产品软文专业写手、技术文章评审老师、问卷调查设计师、个人社区创始人、开源项目贡献者。🌎跑过十五公里、🚀徒步爬过衡山、🔥有过三个月减肥20斤的经历、是个喜欢躺平的狠人。
ApacheKafka在滴滴出行商业化探索与实践
程序员光剑
07-30 1599
Apache Kafka是一个开源分布式消息系统,由LinkedIn公司开发并开源。它最初设计用于构建实时流处理平台,能够通过多种传输协议对数据进行多样化的发布/订阅和消费。随着时间推移,Kafka已经成为越来越多应用领域的基础组件,被各个公司和组织广泛使用。2018年9月,滴滴出行宣布基于Apache Kafka的消息队列服务试点,这一消息队列将用于对外传输重要信息和数据。
支付域——支付安全
庄小焱
08-15 81
支付安全是保护在线交易和支付过程中的信息安全性和完整性的关键。它涉及多层次的安全措施,包括数据加密、身份验证和访问控制。数据加密确保交易数据在传输过程中不被窃取或篡改,通常使用SSL/TLS协议。身份验证机制,如多因素认证(MFA),增加了额外的安全层次,防止未经授权的访问。访问控制确保只有经过授权的人员或系统能够访问敏感信息。此外,监控和实时警报系统可以及时检测并响应潜在的安全威胁。保护用户数据和防范欺诈行为是支付安全的核心目标,为用户提供安全可靠的支付体验至关重要。
OpenSSL Windows编译
最新发布
wyw0000的博客
09-06 554
Windows 编译OpenSSL
免费SSL证书怎么申请?
alsknv的博客
09-03 892
真正完全且永久免费!在这里,你可以申请到免费单域名证书免费多域名证书以及免费通配符证书部署于国内的验签服务器3-5分钟极速签发,而且只需要简单的域名解析验证,即可让您的网站开启https安全协议。首先,根据您的网站需求选择合适的SSL证书类型,如域名验证型(DV)、组织验证型(OV)或扩展验证型(EV)。接着,选择一个受信任的证书颁发机构(CA),如DigiCert、JoySSL等,以确保证书的有效性和认可度。通过以上四个步骤,您就可以成功申请并安装SSL证书,为您的网站提供安全的HTTPS连接。
ios私钥证书(p12)导入失败,Windows OpenSSl 1.1.1 下载
目标架构师
09-03 420
如果你用的OpenSSL版本是v3那么恭喜你V3必然报这个错,解决办法将OpenSSL 3降低成 v1。
SSL解说与应用
owolai的博客
09-04 499
SSL(Secure Sockets Layer)是一种安全协议,用于在互联网上提供加密通信。SSL通过在客户端和服务器之间建立加密连接来保护数据传输的安全性,防止数据在传输过程中被窃听或篡改。SSL最初由Netscape公司开发,后来被广泛采纳,并成为互联网安全通信的标准之一。
【网络安全协议】SSL/TLS、IPSec等网络安全协议的原理与应用
weixin_39372311的博客
09-03 1486
网络安全协议是保护数据传输安全的关键技术,通过加密、身份验证和数据完整性等手段,防止数据在传输过程中被窃取或篡改。本文将深入探讨常见的网络安全协议,包括SSL/TLS、IPSec等,详细解释其工作原理及在实际应用中的使用方法。网络安全协议是保障数据在传输过程中不被窃听、篡改和伪造的基础设施。通过理解SSL/TLS和IPSec的工作原理、合理配置和管理这些协议,企业和个人可以有效保护网络通信的安全。TLS是SSL的继任者,主要用于在客户端和服务器之间建立安全连接,确保数据的保密性、完整性和身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

石宗昊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值