全面封杀？超过13个月的HTTPS证书将被Safari拒绝！

上周（当地时间2月19日），在斯洛伐克举行的CA/浏览器（CA / Browser）论坛会议上，苹果公司宣布：为了提升网络安全性，从2020年9月1日开始，任何有效期超过 398 天的新网站证书将不会受到Safari浏览器的信任，而是会被拒绝。另外，在截止日期（2020年9月1日）以前颁发的较旧证书不受此规则的影响。

这项政策的发布意味着使用在截止时间点以后使用两年期SSL/TLS证书的网站将在苹果系统的浏览器中引起隐私错误，全部证书须要每一年进行续签，以保持Safari的信任。（注意：2020年9月1日前签发的全部SSL/TLS证书不受此政策影响）

苹果发布这项政策的目的是经过确保开发者使用最新加密标准的证书来提升网站的安全性，并减小被忽视的旧证书的数量，这些证书有可能被盗窃，并被用于网络钓鱼和驱动器恶意软件***。若是研究人员或不法分子可以破解SSL/ TLS标准中的密码，短时间证书将确保人们在大约一年内迁移到更安全的证书。

浏览器巨头正逐步缩短证书有效期

2019年8月，谷歌在CA/Browser Forum 会议上就提出将 HTTPS 证书的有效期从 27 个月缩短到 13 个月的议案，最终，CA/Browser Forum 经投票否决了这项提案，SSL证书最长有效期仍为2年。

据悉，苹果，谷歌和CA/Browser的其余成员考虑缩短证书有效期的问题已有一段时间，他们但愿经过拒绝旧的安全证书，迫使网站管理员使用最新的加密技术更新他们的证书，而不是使用旧的、不那么安全的证书，这还将有助于减小管理员不知道的可能已被破坏的证书的影响。

根据 W3Counter 的最新数据显示，截至2020年1月，Safari浏览器的市场份额为17.7％。仅次于Google Chrome（58.2％）。

证书管理将面临巨大挑战

缩短证书的有效期，经过增长证书替换的频率，致使使用加密证书的网站全部者和企业的管理周期变得更加复杂，对许多依赖数字证书保护系统的公司来讲，将带来巨大的成本，极大加剧了企业运维管理人员的负担，SSL/TLS证书过时所形成的后果将会不堪设想！

SSL/TLS证书过时的不利影响 ：

△ 损害企业网站的SEO排名；

△ 网站处于高安全威胁：数据和敏感信息被窃取、被篡改、被中间人***；

△ 网站公信力、品牌形象带来极大的负面影响；

△ 证书到期致使的企业业务意外中断，没法正常运营，承担资金损失；

△ 不当的证书/密钥管理致使的审核失败或违规；

图：Safari浏览器网站证书过时样式

现在，证书管理正成为企业的主要负担。企业规模越大，管理问题就越严峻。

如何有效进行证书管理？

不知道证书什么时候过时？不知道有多少证书和密钥？如何避免证书管理的痛点？苹果Safari证书有效期政策生效后，企业将如何应对？

亚洲诚信建议：您能够经过优质的证书管理平台，依靠自动化管理来协助证书的部署，更新和生命周期管理，以减小人员开销和随着证书更换频率的增长而出现错误的风险。

证书智能管理软件（CertManager）应运而生

CertManager是业内领先的集证书自动申请、部署、检测、发现、监控、管理、告警、更新和证书品牌切换于一体的证书全生命周期智能管理系统。按照美国国家标准与技术研究院（NIST）制定的TLS服务器证书管理行业标准草案设计，经过企业信息预审核机制，以及CertManager突出的部署环境适配能力，提供OV/EV证书一键申请、自动部署、证书品牌快速切换等。

提供一站式证书管理闭环服务，助力企业用户安全合规的管理SSL证书和私钥。可有效规避因证书过时而产生的资金流失、品牌受损等后果。统一管理网关/负载设备、云服务、 WebServer的证书部署和更新，并提供 OpenAPI 与运维系统对接。同时助力企业服务快速上线，下降人工成本，规避人为失误致使的生产事故。

✔ 证书自动签发

企业信息预审机制，实现 OV/EV 证书自动签发、快速获取

✔ 证书部署

统一管理网关设备、云服务、 WEB SERVERS 的证书部署和更新，并提供 OPENAPI 与运维系统对接

✔ 证书检测

CAA 统计报告、DN/SAN 合规报告、弱密钥统计

✔ 私钥保护

白盒算法加固、keyless、安全网关、短证书四种方式可选，保护私钥的安全性

✔ 监控告警

持续监控证书状态，告警异常状况

✔ 品牌切换

当 CA 信任受损，可快速切换证书品牌

✔ 用户管理

基于角色的访问控制，管理员、操做员和审计员

✔ 证书发现

对于企业已经部署的证书，能够扫描企业网段，并管理发现的证书

为帮助企业用户从容应对这次苹果Safari浏览器的证书有效期政策，亚洲诚信开通7*24小时在线咨询服务，为您答疑解惑，并提供高效安全的解决方案。