90天政策即将落地,零信技术已提前实施
2024年6月24日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

SSL证书90天有效期的国际标准即将落地,当然相应的商密标准也会相继落地,这是由谷歌在去年3月份发起的为了应对日益增强的算力而保障HTTPS加密安全的政策,这个计划有一个非常好听的名字:一起面向未来(Move Forward, Together),核心思想是将SSL证书的最长有效期从现在的398 天减少到 90 天。本文详细讲述这个90天政策的必要性、可行性和必然性,以及业界的应对之策,包括零信技术的实施方案。

一、 出台90天政策的必要性

谷歌于去年3月份在谷歌浏览器可信根认证计划网站提出了这个缩短SSL证书有效期为90天的计划,理由写得非常清楚:

  • 缩短SSL证书生命周期就是鼓励自动化部署实践,这些实践将推动PKI生态系统摆脱繁琐的、耗时且容易出错的部署流程。这样将允许更快地采用最新的安全功能和最佳实践,提高将PKI生态系统快速过渡到抗量子算法所需的敏捷性。
  • 缩短SSL 证书生命周期还将减少PKI生态系统对“破烂不堪的”证书吊销检查解决方案的依赖,这个解决方案不仅无法解决故障,而且提供了不完整的保护。
  • 较短生命周期的SSL证书将减少意外的证书透明日志系统被禁用的影响。

SSL证书经历了从有效期为5年,降到3年,再降到2年,再降现在的到1年的不断缩短证书有效期的过程,这是全球业界考虑到随着全球算力的不断提升而随之而来的SSL证书被破解的风险的不断提升,唯一可行的方案只能是缩短密钥使用期限,在确保密钥不会被破解的时间内更换密钥,以保障HTTPS加密的安全,从而提升业务系统的持续安全能力。

二、 出台90天政策的可行性和必然性

如下图所示,截至到6月22日,全球有效的7.44亿张SSL证书中至少有6.34亿张是自动化部署的90天SSL证书,占比85%,这些都是由软件厂商和互联网公司提供自动化证书管理服务来完成自动化域名验证、签发和部署的90天有效期的DV SSL证书。如果再加上传统CA机构(DigiCert和Sectigo)提供的自动化证书管理服务签发的90天DV SSL证书(按60%比例计),则90天SSL证书占比已经高达 91%,这就是谷歌推动90天证书政策落地的底气,通过91%网站已经实现90天政策来倒逼剩下的9%的网站。

90天SSL证书占比

这些数据证明了只要实现了自动化部署,证书有效期是可以缩短到90天的,是可行的。缩短证书有效期就是为了进一步鼓励证书自动化部署,可以说是强制要求必须自动化部署,因为90天有效期证书几乎无法实现手动申请和部署,一年需要部署5次或者6次,不仅太浪费人力而且太不可靠了(可能会忘记及时续期)。

也许大家都知道,要想修改SSL证书有效期为90天成为国际标准,需要CA/浏览器论坛所有成员单位投票通过,而仅仅是谷歌浏览器提议是不够的。但是,大家都应该知道,谷歌浏览器拥有70%以上的全球市场份额,即使这项政策投票未通过,如果谷歌一定要实施的话,则谷歌浏览器也可以独家宣布采用这个政策—不再信任超过90天有效期的SSL证书,则CA机构也就只能乖乖地执行这个政策了,SSL证书有效期从两年降到1年也是因为苹果强势实施而变成了事实。所以,90天政策一定会落地,只是一个何时落地的问题,业界和用户都必须做好思想准备,并提前行动起来。

三、 我国的90天证书应对之策

大家从上图可以看出,推动90天证书实施的是软件开发商和互联网公司,市场份额占比超过85%。我国目前在这方面非常落后,自动化部署比例估计占比少于10%,超过9成的SSL证书都是传统的手动申请和部署。也正是由于手动部署,也就很难实现普及应用HTTPS加密,使得我国网站的SSL证书普及率不到20%,这严重制约我国互联网的整体安全水平,严重影响了互联网数据的安全和互联网应用的安全。

随着90天政策落地步伐的不断临近,我国业界必须赶紧行动起来,为即将到来的90天政策做好充分的准备。云服务提供商和互联网公司应该向国际云服务提供商和国际互联网巨头学习,尽快提供SSL证书自动化部署服务,而传统CA机构也应该及时转型,为用户提供SSL证书自动化部署服务。

四部委5月22日发布的《互联网政务应用安全管理规定》(以下简称《规定》)要求所有互联网政务应用网站,也就是所有政府机关事业单位的官网都必须实现商密HTTPS加密,所有CDN服务都必须支持商密HTTPS加密,这个规定也适用于所有关键信息基础设施提供商的官网和业务系统。《规定》将于即将到来的7月1日施行,11万多个机构事业单位官网要实现商密HTTPS加密,这是一个非常艰巨的任务,当然也是业界一个巨大的市场机会,唯一可行的方案是自动化,自动化部署商密SSL证书实现HTTPS加密安全连接。

四、 零信技术为90天政策做好了充分的准备

零信技术早在3年前就认准了SSL证书自动化这个方向,发力双算法SSL证书的自动化管理,而不仅仅是国际算法SSL证书,而是商密SSL证书和国际SSL证书的双自动化部署解决方案,这是一个端云一体的、原Web服务器零改造的、自动化申请和部署双SSL证书、自动化实现自适应密码算法的HTTPS加密自动化解决方案。

HTTPS加密自动化解决方案

无论用户选择部署零信网关还是选用零信云服务,都可以快速(一天)实现双SSL证书自动化管理,所有自动化配置的双SSL证书都是90天有效期证书,包括DV/OV/EV SSL证书,包括商密SSL证书和国际SSL证书。如下图所示,零信网关自动化默认为用户配置的双SSL证书是商密OV SSL证书和国际DV SSL证书。可以看出:这两张SSL证书的有效期都是90天,90天商密OV SSL证书和90天国际DV SSL证书。

零信网关 零信网关

读者朋友可以使用零信浏览器查验,如下图所示,加密锁和 mi 标识表示采用商密算法实现HTTPS加密,waf 标识表示由零信网关WAF提供云WAF防护服务,T3标识和浅绿色地址栏表示这张商密SSL证书是OV SSL证书。请同时使用其他浏览器查看国际SSL证书,是一张采用ECC算法的从ZoTrus自有品牌中级根证书签发的90天有效期SSL证书。

零信网关 零信网关

如下图所示,这是零信网关自动化为用户配置的另一种双SSL证书搭配:商密EV SSL证书和国际DV SSL证书。可以看出:这两张SSL证书的有效期也都是90天,90天商密EV SSL证书和90天国际DV SSL证书。

零信网关 零信网关

读者朋友可以使用零信浏览器查验,如下图所示,加密锁和 mi 标识表示采用商密算法实现HTTPS加密,waf 标识表示由零信网关WAF提供云WAF防护服务,T4标识和绿色地址栏标识这张商密SSL证书是EV SSL证书。请同时使用其他浏览器查看国际SSL证书,是一张采用ECC算法的从ZoTrus自有品牌中级根证书签发的90天有效期SSL证书。

零信网关 零信网关

细心的读者朋友可能会注意到:零信网关自动化配置的双SSL证书中的国际SSL证书是DV SSL证书,这是第二段落中全球八大SSL证书提供商普遍采用的SSL证书类型,因为DV SSL证书无需等待CA机构的人工身份鉴证就可以自动化签发和实时部署,并且DV SSL证书非常适合于政府机关事业单位无法提供身份证明材料和不允许身份数据出境的特别情况。

为何零信网关自动配置的商密SSL证书默认为OV SSL证书和可选EV SSL证书呢?因为OV SSL证书和EV SSL证书能证明网站可信身份,零信浏览器会在地址栏特别展示单位名称,以防止重要网站被假冒。同时,由于商密SSL证书可以实现国内自主签发,只要审核一次完成身份鉴证,后续就可以自动化签发和自动化配置到网关部署使用了。当然,在没有完成身份鉴证之前零信网关临时给用户网站自动配置90天有效期的双DV SSL证书(商密DV SSL证书+国际DV SSL证书)。

零信网关不仅为每一个网站自动化配置90天有效期的双SSL证书,而且是双网关负载均衡热备配置的每台网关的每个网站都配置唯一的密钥和唯一的双SSL证书,所以都是单域证书,而不是传统人工申请和部署SSL证书常用的通配域名证书,所有网站共用一个密钥和一张通配证书非常不安全。

零信网关和由零信网关提供的云服务都已经提前准备好迎接即将到来的90天证书政策,已经实现自动化配置90天证书,不仅能让用户从容应对90天证书政策的落地,就算是哪一天变成了每天更换密钥都可以做到。只有这样,才能轻松过渡到抗量子算法,不断提升HTTPS加密服务的安全性和敏捷性,轻松帮助用户实现大规模的SSL证书部署,零改造完成商密HTTPS加密改造,满足用户商密合规、等保合规、密保合规、关保合规和全球信任等网络与通信安全及应用和数据安全的合规要求,快速实现所有互联网政务应用的商密HTTPS加密安全连接。

有诗为证:

九十天政策不可怕,关键还是自动化。
双算法自动九十天,零信网关都实现。