行业新闻与博客

您的 SSL 证书到期后会发生什么？

 我们得到的最常见问题之一是“SSL 证书到期时会发生什么情况？ 如果您未按时续订 SSL 证书会怎样？”

答案是死亡。迅速可耻的死亡。有没有想过 Jeeves 发生了什么事？现在你知道了。在死亡证明上，他的死因只写着：“证书到期。”  这对互联网来说是一个黑暗的日子......  好吧，也许这有点夸张（而且显然是不真实的）。但证书到期可能会产生一些严重后果。今天我们将讨论当您的 SSL 证书到期时会发生什么，我们会抛出一些臭名昭着的证书过期示例，我们甚至会考虑如何避免意外让您的 SSL 证书过期。

您的 SSL 证书到期后会发生什么？

让我们从回答我们提出的问题开始，然后我们将深入研究一些细枝末节。SSL 证书有助于加密传输中的数据。通过在您网站的服务器上安装 SSL 证书，它允许您通过 HTTPS 托管它，并在您的网站和访问者之间创建安全的加密连接。这可以保障沟通。SSL 还对服务器进行身份验证。

 但 SSL 证书永远无效。他们到期了。有一个行业论坛，证书颁发机构/浏览器论坛，作为 SSL / TLS 行业的事实监管机构。CAB 论坛规定了证书颁发机构颁发可信 SSL 证书时必须遵循的基准要求。这些要求规定 SSL 证书的使用寿命不得超过 27 个月（两年以上，当您在以前的证书上保留剩余时间时，可以延续最多三个月）。 

这意味着每个网站都需要至少每两年续订或更换一次 SSL 证书。那么，当您的 SSL 证书到期时会发生什么？它使你的视力几乎无法到达。 当用户的浏览器到达您的网站时，它会在几毫秒内检查 SSL 证书的有效性（这是 SSL 握手的一部分）。如果证书已过期，它会发出如下警告：

您不需要我告诉您，此消息本质上是您网站流量，销售的死亡保证 - 无论您重视什么指标。虽然大多数浏览器确实提供了点击警告的选项，但几乎没有人这样做。普通互联网用户可能对网络安全知之甚少，但他们知道两件事：计算机价格昂贵，恶意软件会破坏计算机。因此，如果他们的浏览器告诉他们网站不安全，或者在这种情况下他们的连接不安全，他们可能会听。

不是吗？

为什么 SSL 证书过期？

这是我们过去讨论过的一个话题，但这是一个快速的概述。正如我们前面提到的，SSL 证书有助于实现两件事：加密和身份验证。后者是证书到期的罪魁祸首。所有SSL证书都会对某些内容进行身份验证，甚至域验证证书也会对服 与任何形式的身份验证一样，您偶尔需要重新验证您正在使用的信息，以确保其准确性。

 在互联网上尤其如此。事情总是在变化。网站易手。公司是买卖的。SSL / TLS 基于可被其破坏的信任模型。因此，对于颁发可信证书的证书颁发机构来说，确保他们用于对服务器和组织进行身份验证的信息尽可能最新且准确，这一点非常重要。

让我们看一个实际的例子。Circuit City 是一家大约十年前倒闭的电子和电器零售商。现在，想象一下  SSL 证书没有过期。Circuit City 的资产全部被抛售或抛弃，如果有人抓住证书及其签发的域名，该怎么办呢。现在，他们可以随心所欲地使用该域名做任何事情（直到证书被撤销，但这是一个完全独立的混乱）并且每个人的浏览器都会将此网站视为合法文章。没有意识到公司的人现在已经不复存在，很容易受到欺骗。毕竟，证书是合法的。 这不可能发生。如果有的话，期望证书寿命缩短。有一次，SSL 证书可以发行长达五年。然后它被击倒到三。然后去年它降到了两个 - 这是妥协，因为最初的谷歌提案是一年。将来证书的有效期可能短至 3-6 个月。让我们加密发布 3 个月的证书。

然而，身份验证不是证书到期的唯一罪魁祸首。证书有效期较短也使行业更容易更快地推出变更。例如，几年前，SSL / TLS 行业不赞成使用 SHA-1 作为散列算法。任何订购SSL证书的人都知道，您在生成过程中选择了散列算法。如果有效期为三年，在某些情况下，您可能需要在证书到期前的截止日期之后等待 39 个月，并且该网站不推荐使用 SHA-1。

 短暂的有效期解决了这一问 如果我们逐步淘汰 SHA-2 而不使用 SHA-3（不要担心，这不会很快到来）你可以设置发布 SHA-2 证书的截止日期，在 27 分钟内（如果它减少到一年，则为15分钟） ）SHA-2 将被完全弃用。

高调 SSL 证书过期

 如果您不小心忘记按时续订并让 SSL 证书过期，您可以在知道自己并不孤单时获得一些安慰。下面，我们将保持一份高调 SSL 过期的运行列表：

 由于证书过期，Equifax 错过了 76 天的违规行为 

如果没有过期的数字证书，Equifax 会发现这种攻击很快就会危及数百万人的个人信息。在证书到期后的十个月内，Equifax 无法检查通过其自己的网络运行的流量。反过来，这导致它错过了76天的高调漏洞，直到证书最终被更换并且检查恢复。 

思科允许其 SSL 证书过期

 最近思科有一个问题取代了常规的 SSL 证书到期 - 思科有一个根到期。正如我们几天前讨论的那样，Roots 证书是 SSL / TLS 信任模型不可或缺的一部分。坐在众所周知树的顶部，Root 证书用于签署和颁发中间人和最终用户 SSL 证书。在这种情况下，根连接到思科的一个 VPN，这意味着它发给最终用户的每个证书也可能变得无效。幸运的是，这似乎没有发生，用户只是被阻止生成新的终点。

该问题已在 APEC-EM 版本 1.6.3 中得到解决。

Pokemon Go让它的SSL证书到期  Niantic 似乎与 Pokemon Go 有点复苏，但在 2018 年 1 月，游戏遇到了破坏游戏的错误和一连串其他问题 - 其中一个问题就是 SSL 证书的到期。停电很短暂，持续了大约半个小时，但当时 Niantic 脸上的鸡蛋更多了。 很高兴看到他们的财富似乎正在转变。 英国保守党允许其 SSL 证书到期  一般而言，保守党在英国众所周知，在加密方面并没有很高的声誉。前内政大臣安德鲁德和总理特蕾莎梅都公开批评加密，尽管显然不太了解加密。 因此，具有讽刺意味的是，2018 年 1 月 8 日保守党网站在其SSL 证书到期后出现故障。

LinkedIn 让其 SSL 证书过期 

2017 年 12 月初，LinkedIn 允许其 SSL 证书过期。它击败了美国，英国和加拿大的 LinkedIn 网站。作为Venafi的副总裁，Kevin Bocek 当时表示：  

“LinkedIn 的错误证明了为什么控制证书是如此重要。虽然 LinkedIn 将有数以千计的证书可以跟踪，但昨天的节目中断只需要一次到期就会导致问题。为了保持控制，组织应该寻求自动发现，管理和替换其网络上的每个证书。“ 

LinkedIn 通过 DigiCert 组织验证的 SSL 证书快速解决了问题。

如何避免让SSL证书过期

 企业业务在证书管理方面存在一系列不同的问题。虽然中小型企业（SMB）可能只拥有一个或几个证书，但企业公司拥有庞大的网络，无数的连接设备以及更多的表面覆盖范围。在企业级，允许 SSL 证书过期通常是监督的结果，而不是无用。

我们与许多企业公司合作应对这些挑战。以下是关于避免证书过期的一些可操作的建议。  无论您获得SSL证书的CA或SSL服务，都会在90天后从设定的时间间隔向您发送到期通知。确保将这些提醒设置为发送到通讯组列表而不仅仅是单个人。获得证书时使用的联系人可能在到期时不在那里。也许他们继续前进，升职或者只是在办公室圣诞派对上喝了太多东西并得到罐装 - 无论你需要什么情况下确保通知都能送达正确的人。 确定在到期日期临近时升级提醒的正确渠道。例如，在90天外，您可能只想将通知发送到您的通讯组列表。在60天后，您将其发送到您的列表和系统管理员。在30天之后，您将其发送到列表和系统管理员，现在您的IT经理将进入循环。 找一个好的证书管理平台。企业业务面临的最大挑战之一是可见性。如果您看不到它们，则无法替换过期证书。我们试图保持供应商不可知，但DigiCert，Comodo和Venafi都拥有巨大的平台，可以帮助企业在整个基础架构中查看和管理数字证书。此外，请确保您定期登录，以便随时了解续订时间。 确定您要使用的CA，然后设置CAA记录以限制谁可以为您的域发布。这将有助于消除发布新流氓证书的可能性。您可以将PKI整合到一个平台中的越多，就越好。  说到流氓证书，找到一个好的扫描工具，然后定期使用它来查找和跟踪流氓证书。

说到流氓证书，找到一个好的扫描工具，然后定期使用它来查找和跟踪流氓证书。 那么，这就是 SSL 证书到期时会发生的情况

忘记更新或替换过期的SSL证书可能会发生在任何人身上。但是有很多工具可以帮助减少造成的风险。正如我们所讨论的，关键是具有可见性和良好的沟通渠道，因此您可以在到期前退出。

 最终，事情将自动化到我们甚至不必考虑这一点。

所以，如果您需要购买 ssl 证书，欢迎您随时联系我们。 我们将为您提供最专业最权威的 ssl 证书。