物联网的新危机!即将到期的SSL证书可能会影响……
5月30日,部分Roku流媒体频道停止工作,导致受影响的客户不知道发生了什么问题。
Roku建议这些客户手动更新设备:“由于全球技术证书到期,因此Roku平台上某些依赖此证书链的传输频道可能无法正常工作。请立即从Roku安装手动软件更新。”
当天,Stripe 和Spreedly 付款平台遇到了中断,并将其归咎于证书颁发机构(CA)根证书已过期。
我们一直都知道SSL证书有一个过期日期,但今年发生的事情出乎意料!
服务器向客户端(例如Web浏览器之类的应用程序或设备)提供SSL证书使得SSL / TLS加密起作用。如果服务器证书即将到期,系统管理员可以轻松地续订它。但是,为了使客户端“信任”任何显示的证书都是有效证书,Web浏览器、应用程序和设备配备了一组由可信CA颁发的预安装根证书。
目前那些根证书的有效期确实比服务器证书的有效期长得多——多达20年或25年,但它们迟早也会过期。
安全研究员Scott Helme在他的博客上发表文章说:“这个问题最近得到了很好的证明,准确地说是在5月30日格林尼治标准时间10:48:38。当时,AddTrust外部CA根目录已经过期,并带来了我期待已久的第一个问题迹象。”
“现在到了一个关键时间点,在接下来的几年中,将有许多CA 根证书过期,这仅仅是因为加密网络真正启动已经有20多年了,这就是Root 根证书的生命周期。将会在很大程度上令一些组织措手不及。”他补充说。
Helme预计下一个“潜在重要日期”是2021年9月30日。那时DST根CA X3颁发的CA证书将过期。
这意味着除非客户端应用程序和设备及时更新,否则它们将无法识别Let's Encrypt证书导致连接问题。
Helme一直在预警“预计两年之内将出现的问题”,他在博客上提供了一些新的见解和看法,因为最近的Let's Encrypt证书可能与大多数智能电视型号不兼容,因为该许可证上存在“很少的根存储”设备。
注意事项及解决方案
尽管定期对智能设备应用更新是一个显而易见的解决方案,但对于最终用户来说,这可能并不是最优解。在常规更新期间,智能设备可以下载新的根CA证书以添加到其根存储中。
不过前提是设备制造商持续提供这些更新,并且还会提供修订后的根证书!
实际上,一个智能设备可能会经历数周或数月的不活跃状态。如果这些不经常更新的设备在脱机时根CA证书已过期,那么重新打开时可能无法重新连接到互联网。
例如,智能灯泡可能具有联网能力,但是它可能需要与其服务器的安全连接才能开始提取更新。如果此智能灯泡以前已从互联网“断开连接”几个月,而现在更新其根CA证书的宽限期已过,则它可能无法再重新联网,除非可以手动更新。
此外,诸如智能灯泡,手表或冰箱之类的设备缺乏先进的用户界面,无法为用户提供足够的指示,尤其是在技术层面。乍一看,即使是最精通技术的用户也可能无法成功诊断实际问题。
鉴于可以选择颁发根证书的CA的选项非常多,似乎将这些证书传播到终端设备的频率和数量之间存在明显的延迟。
例如,英国广播公司(BBC)最近更新了SSL证书,因为较旧的证书也意味着被认可的可能性更高, BBC有意选择2012年颁发的根CA证书,而不是2020年。这意味着2012年颁发的根证书将比2032年颁发的证书(假设有20年的失效日期)更快过期。
资料来源:Scotthelme.co.uk/
2012年以后制造的许多设备和智能电视很可能安装了2012年发布的根CA,因此能更好的兼容BBC。Helme说:“令我们惊讶的是,成立8年的Root CA仍未能成功进入大部分“智能”电视。”这个小插曲敦促英国广播公司(BBC)不得不探索其他解决方案。
讽刺的是正如Helme所强调的那样,即使是最“现代”的设备和小工具也不够“现代”,因为它们不能安装最新的根证书!
为了使智能设备和物联网能够不间断地继续运行并确保流畅的用户体验,行业利益相关者,合作伙伴和竞争者需要就一套标准实践达成一致并遵守遵守这些做法。到2020年,没有什么理由说明为什么某些设备仍无法识别2012年发布的根证书。
SSL证书过期会如何?
SSL证书是数字证书的一种,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。类似于我们平时使用的驾驶证、护照和身份证,SSL证书也是有一定的有效期限。它们会过期,是为了确保网站身份信息是最新最准确的。
目前大部分主流浏览器支持SSL证书最长有效期为27个月,而在第49届CA/浏览器论坛(CA/Browser)苹果公司宣布:从2020年9月1日开始,该公司的Safari浏览器将不信任新签发的超过13个月有效期证书。这些也就意味着每一个安装了SSL证书的网站至少要每两年更新一次。(Safari则需要每一年更新一次证书。)
一旦网站证书过期后,Web网站就会出现安全警告,无法继续使用,严重影响用户访问。比如,用户在访问某些HTTPS网站的时候,浏览器会提示“您的连接不是私密连接”等拦截警告。如果用户看到网站出现这种情况,对于网站可信度以及品牌形象来说都是一种巨大打击。
如何有效避免证书过期?
虽然更新证书不是什么复杂的事情,但却是一项极其重要的任务。当涉及到证书管理时,各规模大小的企业都存在着诸多问题。
如果网站证书数量相对较少时,网站管理人员能够轻松的管理网站证书,但是随着组织的不断壮大及其 SSL 证书的不断增多,对于管理人员来说,手动跟踪部署到数百台服务器的数千个证书的过期日期是相当复杂且有难度的。
通过可伸缩的集中式解决方案来简化对于整个企业范围内 SSL 证书的全方位生命周期管理。有效避免客户因忘记续费而导致证书过期事件的发生。对于拥有庞大网络的企业型用户,依靠其自动化管理来协助证书的部署,更新和生命周期管理,以减少人员开销和随着证书更换频率的增加而出现错误的风险。
物联网的新危机!即将到期的SSL证书可能会影响……相关推荐
- 锐成SSL证书周年庆 四步教您开启HTTPS安全防护
随着网民及网站所有者对网络安全意识的增强,很多企业网站部署了SSL证书,尤其是银行.金融.电商等中大型网站开启了HTTPS加密传输数据的模式.但是,对一些中小型企业.个人站长来说,申请SSL证书可能会 ...
- 从SGC(Server Gated Cryptography)技术看SSL证书的加密作用
1. 什么是加密强度? 在对称密钥加密算法中,对于明文的加密和解密需要用同一密钥(key)进行,密钥的长度直接影响到该算法是否容易破解.加密强度就指密钥长度,即位数.目前常见的密钥长度有40位.56位 ...
- 4-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(为域名申请SSl证书)
3-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(购买域名,域名绑定IP) 然后就是等着..... 假设可以了 咱呢是配置MQTT实现SSL安全加密通信,所以 ...
- 上线网站详细介绍(服务器购买-域名申请-SSL证书申请)
文章目录 上线之前的准备工作,通俗的来讲: 服务器是什么-云服务器购买 域名解释-域名备案-域名如何申请 ①什么是域名,为什么要域名? ②为什么非要域名备案和不备案的区别? ③自己的主机怎么备案-自己 ...
- 用XCA(X Certificate and key management)可视化程序管理SSL 证书(3)--创建自己定义的凭证管理中心(Certificate Authority)...
在第"用XCA(X Certificate and key management)可视化程序管理SSL 证书(2)---创建证书请求"章节中,我们介绍了怎样用XCA创建SSL证书请 ...
- 别让SSL证书暴露了你的网站服务器IP
我们通常会用cdn套到服务器ip上,来为网站或者后端程序做加速.防御.可是nginx在设计上有个小缺陷,会因为ssl证书泄露网站的原IP 原理 用Nginx部署网站,在默认或不正确的配置下,网站开启s ...
- 我是如何将网站全站启用Https的?-记录博客安装配置SSL证书全过程
评论» 文章目录 为什么要Https 如何选择Https 安装部署SSL证书 平滑过渡Https 搜索引擎的响应 启用Https小结 正如大家所看到的,部落全站已经启用了Https访问了,连续几天 ...
- 下载ssl证书并安装后如何导出备份
我们ssl证书安装之后就ok了吗?不,我们在储存重要文件时,经常会用到备份这个功能,而安装了SSL证书后也需要备份.安装过SSL证书的人都知道,下载证书后,需要部署在服务器上,一旦服务器的硬件或软件系 ...
- macos 此服务器的证书无效_跨平台本地SSL证书生成工具,本地也能优雅的调试https...
引言 在Web开发中我们可能会遇到调用后端服务或者Api接口,在某些场景下我们可能需要走https,一般情况下我们会直接放到线上进行这样的测试,对我们的开发造成了很大程度上时间的浪费,因此用上这款神器 ...
- 邮箱服务器ip地址白名单,申请SSL证书时如何设置IP地址白名单和邮箱白名单
8月3日消息 在申请SSL证书时,由于您的邮箱可能默认设置或自定义设置了拦截国外邮件,可能会导致您接收不到CA的邮件,给验证.收取证书带来了不便:如果服务器,防火墙也设置了拦截操作,那么即使您按CA要 ...
最新文章
- 机器学习算法一览,应用建议与解决思路
- 【企业管理】人力资源是CEO的第一工程
- 一会儿花雨停了的飞鸽传书
- Slog57_玩转NPM之NPM_package的制作发布和使用
- 编程开源_立即注册免费的在线开源编程课程
- 下载丨云和恩墨技术通讯:OCR无法正常读取导致节点宕机
- Python xlwt : More than 4094 XFs (styles) 解决方法
- SQL Server高级查询之常见数据库对象(数据库事务)第五章节
- php命令行是什么,什么是命令行?
- iClip mac如何自定义声音?iClip剪切板管理软件更改声音的方法
- 抓包工具charles下载安装(破解版)
- 网易邮箱写邮件HTML转换按钮,网易邮箱帮助中心 - 写信
- Illegal character in opaque part at index
- Java基础学习——操作系统批处理(操作系统命令)
- 1K2G来华讲学,力挺无穷小,在国内校园坊间逐渐传开
- 邮箱验证(验证码验证)
- 2019高速数据采集卡动态
- 数据库实验—ER模型
- 参加2022中国计算机设计大赛软件应用web赛道总结
- android9.0谷歌app删除列表,谷歌安卓9.0系统彻底移除通话录音功能
热门文章
- 完美解决Windows 7更新失败(Windows Update 错误 80070003)
- 探究md5是否可以解密
- qcloud windows rtx cpu 100%定位
- 天才小毒妃 第922章 把金针还给我
- 我的世界java版如何装mod_《我的世界》怎么装mod 安装方法教程
- 华乾服显示无法连接服务器,唯满侠战火纷飞,飞龙休闲养老,剑网三各服务器缘何天差地别...
- LVGL (9) Event 机制实现
- 4227. 【五校联考3day2】B (Standard IO)
- 【C++要笑着学】多态 | 重写(覆盖) | 协变构多态 | 父虚子非虚也构多态 | final与override关键字(C++11) | 抽象类 | 纯虚函数 | 抽象类指针
- php 磁盘配额,samba服务器安装+磁盘配额笔记