免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来!

目录

  • 背景
    • 解决方案。
      • 1.使用自签证书(浏览器报警、免费)
      • 2.更换支持自签自续的CA机构(免费)
      • 3.付费选择CA机构
  • 免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来
    • 免费的SSL证书有以下弊端
      • 1.有效期短:
      • 2.兼容性问题:
      • 3.不稳定性和撤销风险:
      • 4.安全性与信任度:
      • 5.加密强度:
      • 6.品牌形象:
    • browser
    • 谷歌提议将SSL证书有效期缩短至90天
    • 未来或将强制缩短SSL证书为7天一次签发
    • 为什么由浏览器(browser)去决定CA的生死?
      • 浏览器来管理CA。
    • 被浏览器封杀的CA
      • 沃通
      • 赛门铁克
    • 提议缩短SSL签发有效期的目的是什么?
      • 是为了赚CA的保护费吗?
      • 安全性
    • 结论

背景

最近我使用的SSL证书到期了,之前都是一年一次申购,一次申请一年,然后手动进行更换,
但是今天发现,再次申请的免费证书,只可以使用3个月(90天),
这就意味着,由之前每年一更换的证书,变成了3个月,很难受。


随后,我进行了一些调研咨询,结合自身的理解,目前有以下几个

解决方案。

1.使用自签证书(浏览器报警、免费)

acme.sh是github上的一个开源项目,实现了acme协议, 可以从letsencrypt生成免费的证书。
官方文档(官方文档的使用说明很详细,推荐阅读):
英文:https://github.com/acmesh-official/acme.sh
中文:https://github.com/acmesh-official/acme.sh/wiki/说明
参考链接https://blog.csdn.net/weixin_43735348/article/details/105311767

2.更换支持自签自续的CA机构(免费)

使用可以自动续签的,或者自动更换的,由浏览器认可的CA证书(比如OHTTPS),这种的自动更新ssl,有cdn的可以同步刷新,还支持泛域名。
以下两个是实例,我没用过
https://ssl.juyun.top/
https://www.ohttps.com/

3.付费选择CA机构

选择CA机构时,SSL证书品牌并不多,如果按照99.9信任度,交叉链不超过2级以上的,仅有:GlobalSign、DigiCert、Entrust,三家颁发机构。建议参考三项SSL证书颁发机构标准选择。贵之外没啥缺点 屏蔽问题都好了很多

参考如下:
一、包括古老的操作系统及设备默认根证书信任、浏览器可信度达到99.9%。
二、SSL证书链包括服务器(域名)证书不超过三级。组成具体:一本根证书、一本中间证书、一本服务器证书,组成的证书链。
三、SSL证书中间证书必须是根证书厂方品牌,禁止使用委托PKI品牌名称。
四、颁发机构5年内未出现重大网络安全事件。
五、合法性中国境内有合法性单位(合资或外企)登记。
六、ocsp服务器全球化统一网络。
在这里插入图片描述


免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来

https://baijiahao.baidu.com/s?id=1763112984966001772&wfr=spider&for=pc

免费的SSL证书有以下弊端

1.有效期短:

免费SSL证书的有效期通常很短,比如只有1个月或3个月,这导致网站管理员需要频繁地更新证书,增加了管理负担。与之相比,付费证书的有效期一般更长,可达一年或更久。频繁的证书更换不仅耗时,还可能导致因忘记更新而出现证书过期的情况,影响网站的正常访问。

2.兼容性问题:

一些免费SSL证书可能在不同浏览器和操作系统上的兼容性较差,导致部分用户访问时遇到警告或无法正常访问,影响用户体验和网站流量。

3.不稳定性和撤销风险:

免费SSL证书有可能被证书颁发机构随时撤销,且在撤销后可能没有明确的通知机制,这给网站的稳定运营带来不确定性。同时,由于缺乏商业保险和合同保障,一旦出现问题,使用者可能无法获得赔偿或法律支持。

4.安全性与信任度:

免费SSL证书在身份验证方面可能不够严格,有的仅提供域名验证(DV),而不包括组织验证(OV)或扩展验证(EV),这使得它们在建立网站的信任度方面不如付费证书。此外,部分浏览器和用户可能对免费证书持有更高的警惕,认为它们不如付费证书可靠。
技术与客户服务支持:免费SSL证书往往缺乏全面的技术支持和客户服务,当遇到安装、配置或其它问题时,用户可能得不到及时有效的帮助,增加了使用难度和潜在的风险。

5.加密强度:

免费证书可能提供的加密强度较低,不足以应对复杂的网络安全威胁,而付费证书通常提供更高级别的加密算法,确保数据传输的安全性。

6.品牌形象:

对于企业而言,使用付费SSL证书可以在一定程度上提升品牌形象,展示公司对用户数据安全的重视,而免费证书可能不足以传达这种专业性和责任感

browser

下述,这四家代表browser(浏览器)
1.微软:Edge、Internet Explorer
2.苹果:Safari
3.谷歌:Chrome
4.Mozilla:Mozilla Firefox(火狐)

谷歌提议将SSL证书有效期缩短至90天

网站安全又遇新问题?谷歌提议将SSL证书有效期缩短至90天!
使用免费证书的站长们,都有这个疑问,以前都是一年现在直接90天一下缩减3/4
但是,实际上SSL证书有效期缩短至90天这个提议是由谷歌提议并推动的.

本次谷歌的提议,声明将通过“未来的政策更新或CA/B论坛投票提案”来执行,
但实际上,CA/B的信息没有意义,因为整个SSL体系是由B来说了算的,CA说白了就是参与方,象征性的投票。
因为如果CA或者其他的B不同意,谷歌大概率会走“政策更新”这条苹果走过的老路了,
作为 Chrome 根程序的要求,来单方面强制执行此更改,并且让其成为每个商业公共CA都不得不遵循的事实标准。

本次缩短至90天,没有强制执行,只是browser方的四个同意了,等同于同意执行,
浏览器执行信任根政策,只要b的四个同意执行就是没跑了。

未来或将强制缩短SSL证书为7天一次签发

谷歌最新的提议将SSL证书有效期缩短为7天,,提议是否落实,就要看其他的browser是否同意了,目前还没有任何提交讨论的实际行动,但不排除,Chrome进行 “政策更新”,作为 Chrome 根程序的要求,来单方面强制执行此更改。强制执行

为什么由浏览器(browser)去决定CA的生死?

浏览器来管理CA。

browser不做信任根,只是做浏览器去信任某个根证书,这四家没有一家浏览器是卖证书的,他们是作为浏览器一方来管理CA,并且browser的决策,是直接到影响这些CA机构,
由于浏览器信任根机制,导致他们对于CA有约束力,通常来讲一些决策需要上述的browser全部同意才能执行,

大家所熟知的,globalsign、科摩多这种不过就是CA机构,而已下图所示
在这里插入图片描述
在这里插入图片描述

被浏览器封杀的CA

browser就是负责管理CA的,如果没有按照规则执行那么结果就是和沃通一样,沃通以及沃通签发的所有证书全部失效

沃通

比如,当年沃通就是被这么搞死了,不过也是作死,子域名能签出来根域名

在这里插入图片描述

赛门铁克

谷歌怒了 宣布将不再信任赛门铁克SSL证书

提议缩短SSL签发有效期的目的是什么?

是为了赚CA的保护费吗?

是想让CA给它交保护费?交了钱就可以一年签发?

没必要,因为就算不这么做CA也要交保护费, 不管怎么样CA一样要交保护费,CA交的钱一点也不少
而且,做浏览器的怎么会馋CA赚的钱,除了Mozilla,这家比较特殊以外,其他自己业务早就赚翻天了,做浏览器的都是大公司,不在意这点的,安全考量确实有必要。反正这四家除了Mozilla缺钱,其他的压根看不上

CA能赚钱的业务是OV EV而非DV
而OV EV这些要审核的,缩短了SSL的签发有效期,会加大CA的工作压力,算上审核,签发,调试的时间,真搞成7天估计每天都在更新证书。

安全性

因为过长的证书时间泄露风险就会越大,
而且谷歌的最终目的就是,像cloudflare那样,让所有网站可以自动更新SSL,证书部署自动化,泛域名、更新CDN。

所以,谷歌有点太理想了,一直都是浏览器这边再强行推进,CA机构是很反对缩短时间的。

结论

CAB联盟以前是听CA的话,后来浏览器这边搞了一套信任策略,然后现在就是CA听B的话

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/422951.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

stm32驱动开发与linux驱动的区别

stm32,gpio设置原理 下图,定义了gpio E的基地址,只要将这个地址强制转换成gpiotypedf的类型,解析时,结构体地址就会自增。这样就可以对不同gpio组,就像定义。 全部gpio定义,强制为结构体类型…

Linux CentOS更换阿里云源解决Could not retrieve mirrorlist http://mirrorlist.centos.org

Linux CentOS7 更新yum 操作的时候出现这个问题: Loading mirror speeds from cached hostfile Could not retrieve mirrorlist http://mirrorlist.centos.org 然后我执行 grep -nr "mirrorlist.centos.org" /etc/yum.repos.d/* 出现 这个问题时可以…

搭建 WordPress 及常见问题与解决办法

浪浪云活动链接 :https://langlangy.cn/?i8afa52 文章目录 环境准备安装 LAMP 堆栈 (Linux, Apache, MySQL, PHP)配置 MySQL 数据库 安装 WordPress配置 WordPress常见问题及解决办法数据库连接错误白屏问题插件或主题冲突内存限制错误 本文旨在介绍如何在服务器上…

爬虫使用代理IP后报错?解决方案在这里!

在数据抓取的过程中,使用代理IP是避免被封禁、提高抓取效率的重要手段。然而,有时候即使配置了代理IP,依然会遇到各种报错问题。本文将详细解析常见的报错类型,并提供解决方案,帮助你顺利进行数据抓取。 常见报错类型…

MySQL表的操作与数据类型

目录 前言 一、表的操作 1.创建一个表 2.查看表的结构 3.修改表 4.删除一个表 二、 MySQL的数据类型 0.数据类型一览: 1.整数类型 2.位类型 3.小数类型 4.字符类型 前言 在MySQL库的操作一文中介绍了有关MySQL库的操作,本节要讲解的是由库管理的结构——…

智能体 vs AI智能体:区别与联系,一文读懂!

​ 在AI技术蓬勃发展的今天,“智能体”(Agent)和”AI智能体”(AI Agent)两个概念经常被提及,二者在很多场合下会被混淆,但其实它们有着不同的定义和应用。我觉得很有必要小小科普下两者的定义与…

软件测试学习笔记丨Pytest的使用

本文转自测试人社区,原文链接:https://ceshiren.com/t/topic/22158 1. 简介 pytest是一个成熟的全功能python测试框架测试用例的skip和xfail,自动失败重试等处理能够支持简单的单元测试和复杂的功能测试,还可以用来做selenium/ap…

HTML的块级元素与行内元素

在HTML中,元素可以分为两大类:块级元素(block-level elements)和行内元素(inline elements)。这两种类型的元素在网页布局和呈现中扮演着不同的角色。 块级元素(Block-level Elements&#xff…

CMU 10423 Generative AI:HW1(编程部分:在GPT-2模型中实现RoPE、GQA)

完整代码和PDF笔记:https://github.com/YM2025/CMU_10423_2024S 文章目录 1 概述Rotary Positional Embeddings (RoPE)Grouped Query Attention (GQA)实验任务 2 项目文件1. requirements.txt2. input.txt3. chargpt.py4. mingpt/a. model.pyb. trainer.pyc. utils.…

毕业论文选题难?5招帮你轻松搞定选题!

AIPaperGPT,论文写作神器~ https://www.aipapergpt.com/ 你是不是已经为毕业论文的选题愁得头发都要掉光了?每次打开文档,都觉得什么都想写,又好像什么都写不了。选题看起来很简单,但真正开始动手的时候,…

深入探索系统架构设计

目录 前言 软件的体系结构 软件架构定义 软件架构设计与生命周期 1、需求分析阶段 2、设计阶段 3、实现阶段 4、构件组装阶段 5、部署阶段 6、后开发阶段 软件架构的重要性 1、架构设计能够满足系统的品质 2、架构设计使受益人达成一致的目标 3、架构设计能够支持…

UDS 诊断 - RequestTransferExit(请求传输终止)(0x37)服务

UDS 诊断服务系列文章目录 诊断和通信管理功能单元 UDS 诊断 - DiagnosticSessionControl(诊断会话控制)(0x10)服务 UDS 诊断 - ECUReset(ECU重置)(0x11)服务 UDS 诊断 - SecurityA…

【北京迅为】《STM32MP157开发板使用手册》- 第二十六章Cortex-M4 GPIO_蜂鸣器实验

iTOP-STM32MP157开发板采用ST推出的双核cortex-A7单核cortex-M4异构处理器,既可用Linux、又可以用于STM32单片机开发。开发板采用核心板底板结构,主频650M、1G内存、8G存储,核心板采用工业级板对板连接器,高可靠,牢固耐…

matlab 基于选权迭代法的空间平面拟合

目录 一、算法原理1、参数平差2、选权迭代法3、参考文献二、代码实现三、结果展示本文由CSDN点云侠原创,原文链接,爬虫自重。如果你不是在点云侠的博客中看到该文章,那么此处便是不要脸的抄袭狗。 一、算法原理 1、参数平差 由空间几何学知,空间平面方程可以表述为: A x…

【C++】——string类的模拟实现

目录 一、string模拟实现 1.1构造析构 1.2迭代器 1.3修改 1.4查找 1.5substr 深浅拷贝的区别 1.6比较函数与流插入流提取 二、string类的拷贝 2.1浅拷贝与深拷贝 2.2传统版与现代版区别 2.3写时拷贝(了解) 三、vs和g下string结构的说明 3.1v…

零信任沙箱让源代码防泄漏“如虎添翼”

"数据泄露事件频发,给企业带来了巨大的经济损失和声誉损害。SDC沙盒,一款基于零信任模型构建的数据防泄密解决方案,正成为企业数据安全的新防线。 🔐 零信任模型的核心:SDC沙盒遵循“永不信任,始终验…

Python爬虫案例七:抓取南京公交信息数据并将其保存成excel多表形式

测试链接: https://nanjing.8684.cn/line4 思路:先抓取某个类型下的某一条线路所有数据,然后实现批量,,列举出三个类型代表既可 源码: from lxml import etree from xlutils.copy import copy import requests, os, xlrd, xlwtd…

串口输出时:英文正常输出、中文乱码输出

一、问题:英文正常输出,英文乱码输出 二、解决方法 1、查看自己使用的串口助手的编码格式 2、查看自己使用输出的文件编码格式 以记事本的格式查看,原则上这两种应该保持相同,如果不相同,就需要把这个文件去另保存一…

UE5 阴影通道

Shadow Pass Switch节点中 Default代表模型遮罩的效果 Shadow代表阴影的生成遮罩效果

Android Studio报错中文乱码

现象: 解决办法: 按两下Shift,查找Edit Custom VM Options并确认; 没有studio64.exe.vmoptions的话会弹窗,创建一个即可;原本存在的话,在最下面添加 -Dfile.encodingUTF-83. Sync Gradle 重…