行业新闻与博客

如果发现服务器漏洞（例如 HeartBleed），则短期有效期证书变得越来越常见，以减少受损数据的范围  。良好的安全措施要求定期更换密钥，通常是每年更换一次，但如果您想进一步限制曝光，可以更频繁地更换证书和基础密钥。

Sandstorm 是一个开源服务器软件，可以轻松安装 Web 应用程序。为了解决在没有太多复杂问题的情况下建立 DNS 的问题，  Sandstorm 宣布发布 Sandcats.io。Sandcats.io 是一个免费的 DNS 服务，需要 120 秒才能从空的 Linux 虚拟机转移到具有 DNS 名称和 HTTPS 的工作个人服务器。DNS 服务在 sandcats.io 服务器上运行，而“个人服务器”在每个客户的计算机上运行。

对于每个 Sandstorm 用户，还需要  SSL 证书，因为用户需要保护他们的数据。因此，作为解决方案，Sandstorm 与 GlobalSign 一起开发了一种方法，允许每个用户通过三个简单的步骤使用 HTTPS 来保护自己。

每个 Sandstorm 客户都会在 sandcats.io，example.sandcats.io 下获得自己独特的子域名。Sandstorm 软件使用唯一的主机命名约定：它为每个应用程序的每个实例的每个会话使用唯一的，随机的，短期主机名。Sandstorm.io 客户可以使用类似 example.sandcats.io 的主机名来查看他们的 Sandstorm 仪表板，他们看到的每个应用程序都有一个主机名，如 qr17502o9sns24475689p33940919141.example.sandcats.io。为每个会话创建和使用动态生成的主机名可以帮助防止 XSRF，反映 XSS 和点击劫持攻击，从而提高安全性。通常，这些攻击需要已知的主机名; 这些自动生成的主机名很难猜测，并且只在短时间内存在，使得应用程序更不容易受到影响。

由于 TLS 协议要求主机名存在于 SSL 证书中，因此发布传统 TLS 证书以支持 Sandstorm 客户是不可行的，因此只能   使用格式为 * .example.sandcats.io 的通配符 SSL 证书。

那么 Sandstorm 为什么选择使用短期证书而不是普通证书呢？

使用短期有效期或短期证书的好处

为每个客户使用单独的证书远远优于使用大型共享多 SAN（主题备用名称）证书，其中来自多个站点，应用程序或用户的 SAN 在共享证书中可见。这限制了每个客户的钥匙暴露，这可以使安全意识的客户放心。在 Sandstorm 的案例中，每个客户都控制着自己的私钥。

可以轻松管理短期证书

需要频繁更换证书时，必须自动颁发证书。Sandstorm 使用全面的托管 SSL 解决方案（MSSL）API，无需任何用户参与即可高速订购，重新颁发和撤销证书。这使得所有证书都能保持最新，并且还允许整个用户群在发生安全漏洞时立即更换其证书。

Sandstorm 利用其托管 SSL API 中的一些独特功能，包括自定义有效期选项，该选项允许指定所需的证书到期日期。沙尘暴发现，每周更换 10 天有效期证书对他们来说效果很好。其他客户可能更喜欢更短或更长的有效期以满足其独特要求。

短期证书可以具有成本效益

在为客户提供短期证书以改变客户群时，尤其是在使用通配符 SSL 证书时，必须使用灵活的证书定价和许可。通常每张通配符证书都是数百美元。在存在动态用户群的情况下，每个证书的收费只是没有意义，这就是为什么 Sandstorm 是许多 SAN 许可客户之一的原因。这使他们可以随时拥有指定数量的唯一 SAN。随着证书过期，它们将从库存中删除，这使他们能够在不受任何财务影响的情况下确保新客户的安全。

可以通过 CRL 轻松管理短期证书

通过使用较短的有效期， 可以更好地管理证书吊销列表（CRL）的大小  。随着 CRL 的增长，浏览器在检索和处理它们时会更加困难，这会导致页面加载时间变慢并降低安全性。如果发生大规模安全事件并在使用短期证书时撤销，则 CRL 只会在删除过期证书后的几天内变大。

短期证书在浏览器过期时仍会显示警告

GlobalSign 通过 CA / B 论坛支持行业向短期证书的转变   ，我们将继续与 Mozilla 合作，帮助确定正确的有效期，以提高安全性。某些浏览器并不总是检查证书的撤销状态，但所有浏览器都会在证书过期时发出警告。

那么这让我离开了什么地方？

如果您运营大型网站并使用子域来托管用户内容，则通过自动证书颁发系统发布和续订短期证书将大大减少涉及受损密钥的安全事件的范围。

• 点击在 Facebook 上分享（在新窗口中打开）
• 点击在 Twitter 上分享（在新窗口中打开）
• 点击分享 LinkedIn（在新窗口中打开）
• 点击在 Google+ 上分享（在新窗口中打开）
• 点击打印（在新窗口中打开）

非常感谢您对亚洲注册的支持与信任！

禁止转载