行业新闻与博客

SSL 证书过期后会怎样？这个。

我们被问到的最常见问题之一是“ SSL 证书过期时会发生什么？”的一些变体。或“如果您不按时续订 SSL 证书怎么办？”

答案是死亡。斯威夫特死气沉沉。有没有想过吉夫斯怎么了？现在你知道了。在死亡证明上，他的死因为：“证明有效期”。

对于互联网来说那是黑暗的一天……

好的，所以也许有点夸张（而且显然是不正确的-每个人都知道这是 Google 的工作）。但是证书过期可能会产生一些严重的后果。

因此，今天我们将讨论当您的 SSL 证书过期时会发生什么，我们将丢掉一些臭名昭著的证书过期示例，甚至会探讨如何避免一开始就让您的 SSL 证书意外过期。

让我们将其散列出来。

SSL 证书过期后会怎样？

让我们先回答一开始提出的问题，然后再深入研究一些细节。SSL 证书有助于对传输中的数据进行加密。通过在您网站的服务器上安装 SSL 证书，它可以让您通过 HTTPS 托管它，并在您的网站与其访问者之间创建安全的加密连接。这样可以保障沟通。SSL 还对服务器进行身份验证。

SSL 证书永远无效。他们到期了。有一个行业论坛，即证书颁发机构 / 浏览器论坛，它是 SSL / TLS 行业的事实上的监管机构。CAB 论坛立法了证书颁发机构颁发可信 SSL 证书必须遵循的基本要求。这些要求表明，SSL 证书的使用寿命可能不超过 27 个月（两年+ 如果续订时可以保留三个月以上的时间，而以前的证书还有剩余时间）。

这意味着每个网站至少每两年需要更新或替换其 SSL 证书一次。那么，当您的 SSL 证书过期时会发生什么？它使您的视线几乎无法触及。

当用户的浏览器到达您的网站时，它会在毫秒内检查 SSL 证书的有效性（这是 SSL 握手的一部分）。如果证书已过期，则会发出如下警告：

您不需要我告诉您，此消息本质上是针对您网站的流量，销售的死亡保证书-无论您重视什么指标或 KPI。尽管大多数浏览器都提供了一种单击警告的选项，但几乎没有人这样做。普通的互联网用户可能对网络安全一无所知，但他们知道两件事：计算机价格昂贵，恶意软件使计算机混乱。因此，如果他们的浏览器告诉他们网站不安全，或者在这种情况下他们的连接不安全，则他们可能会听。

你不是吗

证书到期编号

为什么 SSL 证书过期？

这是我们过去讨论过的话题，但是这里有一个简短的总结。正如我们前面提到的，SSL 证书有助于两件事：加密和身份验证。后者是证书到期的更大元凶。

所有 SSL 证书都会对某些内容进行身份验证，甚至域验证证书也会对服务器进行身份验证。与任何形式的身份验证一样，您有时需要重新验证所使用的信息，以确保其准确性。

在互联网上尤其如此。事情总是在变化。网站易手。公司被买卖。SSL / TLS 基于可被其破坏的信任模型。因此，对于颁发受信任证书的证书颁发机构来说，重要的是要确保它们用于认证服务器和组织的信息尽可能最新和准确。

让我们看一个实际的例子。Circuit City 是一家电子和电器零售商，大约十年前倒闭了。现在，想象一下 SSL 证书没有过期。Circuit City 的资产全部变卖或抛售，如果有人拿到了证书及其颁发地，该怎么办。现在，他们可以自由地对该域进行任何操作（直到证书被吊销，但这是完全分开的混乱），每个人的浏览器都将这个站点视为合法文章。那些没有意识到公司现在已经倒闭的人很容易被骗。毕竟，证书是合法的。

那不可能 如果有的话，期望证书的寿命会缩短。信不信由你–我们经常听到批评家声称证书到期是证书颁发机构的一个门槛-CA 并不是缩短证书有效性的人。浏览器是。

某一时刻，SSL 证书可以颁发长达五年的时间。然后它被击倒到三。去年则减少到了两年，这是一个妥协，因为最初的 Google 提案为期一年。将来证书的有效期可能短至 3-6 个月。现在让我们加密颁发 3 个月的证书。

认证并不是证书过期的唯一原因。较短的证书有效期也使行业更容易更快地推出更改。例如，几年前，SSL / TLS 行业弃用 SHA-1 作为哈希算法。曾经订购过 SSL 证书的任何人都知道，您可以在生成过程中选择哈希算法。具有三年的有效期，在某些情况下，您可能必须等待截止日期后的 39 个月之久，才能使证书过期并且该网站不推荐使用 SHA-1。

有效期短可解决此问题。如果我们要逐步淘汰 SHA-2 而使用 SHA-3（请放心，这不会很快出现），您可以设置颁发 SHA-2 证书的截止日期，并且可以在 27 天内（如果减少为一个，则为 15）年）个月，SHA-2 将被完全弃用。

高配置 SSL 证书到期

如果您确实忘记了按时续订并让您的 SSL 证书过期，则可以放心一些，因为您知道自己并不孤单。下面，我们将保留一份备受瞩目的 SSL 到期清单：

LinkedIn 让其 SSL / TLS 证书之一到期……再次！

由于其 SSL 证书之一过期，LinkedIn 在美国和英国连续两年出现第二次故障。这次过期影响了链接缩短器 lnkd.in，该链接使任何单击缩短的链接之一的人都无法访问该站点（通常在社交媒体上找到该链接）。链接缩短器基本上像代理一样工作，缩短的链接与链接缩短服务器连接，进行检查，然后传递到预期的目的地。事情就在这里，这不仅影响了 LinkedIn，通过该网站共享内容的任何人的链接都缩短了。这是我们其中一篇文章的网址被缩短的示例。

这是一个很好的例子，说明过期的证书不仅会损害您的组织，还会损害您的客户和合作伙伴。

美国政府关闭导致数十个 SSL 证书到期

为了结束 2018年并启动 2019年，两个管理美国的政党决定打一场关门大吉，最终导致超过 130 个政府 SSL 证书到期，使数十个站点完全无法访问。作为 2015年国土安全部指令的一部分，所有政府网站都应列入 HSTS 预载清单。HSTS 是一个安全标头，用于强制浏览器建立安全连接。这是一个好主意，唯一的缺点是，如果 SSL / TLS 证书发生任何事情，您的网站就会崩溃。我会说，它变得完全无法达到。当诸如司法部，美国上诉法院或美国宇航局之类的政府组织遇到这种问题时，这就是一个问题。

爱立信让证书过期，3200 万人失去蜂窝服务

在 2018年12月，与爱立信网络相关的数字证书到期后，英国有数百万人没有蜂窝网络覆盖。瑞典蜂窝公司爱立信（Ericsson）为世界蜂窝网络制造各种后端设备。由于爱立信管理软件版本中的数字证书已过期，该版本已被欧洲电信公司广泛使用，数百万蜂窝用户经历了停机时间。停机最初影响了 O2 及其母公司 Telefonica 使用的软件，但最终停机出现在下游也一样

由于证书已过期，Equifax 错过了 76 天的违约时间

Equifax 本来会发现 2017年的攻击，如果不是因为过期的数字证书，它会很快危害数百万人民的个人信息。证书到期后的十个月内，Equifax 无法检查通过其自身网络运行的流量。反过来，这导致它在 76 天之内错过了备受瞩目的违规行为，直到最终更换证书并恢复检查为止。

思科让其 SSL 证书之一过期

在 2018年上半年，Cisco 出现了一个问题，该问题取代了常规 SSL 证书的到期时间-Cisco 的根到期时间。正如我们几天前讨论的那样，根证书是 SSL / TLS 信任模型不可或缺的一部分。根证书位于谚语树的顶部，用于签署和发行中间件以及最终用户 SSL 证书。在这种情况下，根连接到 Cisco 的一个 VPN，这意味着它颁发给最终用户的每个证书也可能会变得无效。幸运的是，这似乎没有发生，只是阻止了用户生成新的端点。

该问题在 APEC-EM 版本 1.6.3 中已解决。

Pokemon Go 允许其 SSL 证书过期

Niantic 似乎对 Pokemon Go 有所复兴，但早在 2018年1月，该游戏就遇到了打破游戏规则的错误和一系列其他问题-其中之一是其 SSL 证书到期。中断时间很短，仅持续了大约半小时，但当时 Niantic 脸上的鸡蛋更多。

幸运的是，最近公司的情况似乎要好得多。

英国保守党让其 SSL 证书过期

通常，在英国，保守党在加密方面没有很高的声誉。前内政大臣安德鲁·陆克文（Amber Rudd）和即将出任总理的特蕾莎·梅（Theresa May）都公开批评了加密技术，尽管显然对此并不十分了解。因此具有讽刺意味的是，然后在 2018年1月8日，保守党的网站在其 SSL 证书到期后关闭了。

也许您可以说 Brexpired。

LinkedIn 让其 SSL 证书过期

2017年12月开始，LinkedIn 允许其 SSL 证书之一过期。它淘汰了在美国，英国和加拿大的 LinkedIn 网站。作为 Venafi 副总裁，Kevin Bocek 当时说：

 “ LinkedIn 的错误表明了为什么控制证书如此重要。尽管 LinkedIn 将拥有成千上万的证书，但是像昨天的节目那样，停机仅会导致问题一次失效。为了保持控制力，组织应该寻求自动化其网络上每个证书的发现，管理和替换。”

LinkedIn 迅速通过 DigiCert 组织验证的 SSL 证书解决了该问题。

时代华纳让其邮件服务器的 SSL 证书过期

在 2017年初，时代华纳通过为客户提供有关纠正这种情况的一些卑鄙的建议，使笨拙的监督变得更加混乱，从而使其电子邮件服务器的 SSL 证书过期：

“……进入电子邮件设置并禁用 SSL 将停止弹出消息并重新启用 Webmail 提取。”

在许多层面上这都是可怕的。让我们从一个可怕的建议开始。永远不要禁用 SSL。曾经 其次，公司有责任让其 SSL 证书过期以在短期内替换它。更改设置以补偿该公司的过失不是客户的工作。第三，到底谁还在使用时代华纳作为电子邮件服务？

如何避免让您的 SSL 证书过期

企业业务在证书管理方面存在一系列不同的问题。中小企业（SMB）可能只有一个或少数几个证书，而企业公司的网络却很庞大，连接的设备众多，而且覆盖面还很多。在企业级别，允许 SSL 证书过期通常是监督而非无能的结果。

从企业到最小规模的企业管理，无论从哪个层次上，避免此问题的最佳方法就是自动化。这听起来可能有点抽象，但是由于 ACME 协议已经由 IETF 作为标准发布，因此自动化从未如此简单。几天前我们讨论了此问题，正确配置 ACME 协议可让您设置它而忘记它。

ACME 协议的工作原理是在服务器上安装客户端，该客户端将充当托管在其上的网站的代理。按照代理证明其有权代表指定网站进行操作的过程，可以将其配置为定期与您选择的证书颁发机构联系，以替换和更新 SSL 证书。最初，只有“让我们加密”支持此功能。但是，每天都有越来越多的 CA 添加他们自己的支持，诸如 Sectigo 和 DigiCert 这样的主要公司正在引领潮流。

ACME 不是自动化的唯一选择，还可以设置其他证书管理平台（例如 Venafi's）来自动化证书生命周期的所有阶段，包括那些非常重要的续约。

我们拥有十多年的经验，可以帮助各种规模的组织应对这些挑战。以下是一些在不自动化的情况下避免证书过期的可行建议：

• 无论您获得 SSL 证书的是哪种 CA 或 SSL 服务，都会从 90 天开始按设置的时间间隔向您发送过期通知。确保您将这些提醒设置为发送到通讯组列表，而不仅仅是一个人。您在获取证书时使用的联系点可能会在证书到期时不存在。也许他们继续前进，得到晋升，或者只是在办公室的圣诞晚会上喝了太多酒而被罐装了-无论哪种情况，您都需要确保通知能够到达合适的人。
• 确定有效的渠道，以随着到期日期的临近而逐步提升提醒。例如，在 90 天后，您可能只想将通知发送到您的通讯组列表。在 60 天后，将其发送到您的发行版列表和系统管理员。在 30 天后，您既可以将其发送给列表，又可以发送给系统管理员，现在您的 IT 管理器也将进入循环。如有需要，请一直升级到 CIO 或 CISO。
• 找到一个好的证书管理平台。企业业务面临的最大挑战之一是可见性。如果看不到过期证书，则无法替换它们。我们试图保持与供应商无关，但是 DigiCert，Sectigo 和 Venafi 都具有强大的平台，可以帮助企业在整个基础架构中查看和管理数字证书。另外，请确保您定期登录，以便在即将进行续订时可以随时得到通知。
• 确定要使用的 CA，然后设置 CAA 记录以限制谁可以为您的域颁发证书。这将有助于消除颁发新的流氓证书的可能性。您可以将 PKI 整合到单个平台中的次数越多，您的收益就越好。
• 说到恶意证书，找到一个好的扫描工具，然后定期使用它通过检查各种 CT日志来查找和跟踪恶意证书。

因此，这就是 SSL 证书过期时发生的情况

忘记更新或替换过期的 SSL 证书对任何人都可能发生。但是，有许多工具可用来帮助最大程度地降低带来的风险。正如我们所讨论的，关键是自动化，或者至少要具有可见性和良好的沟通渠道，以便您可以提前解决即将到来的到期问题。

不幸的是，即使自动化程度不断提高，这个问题也无法解决-发给新网站，物联网设备和端点的大量数字证书意味着在某个地方，某个地方，总会有一个即将到期。