不要因不可预见的浏览器不信任而措手不及,如果您正在为组织管理SSL/TLS证书,您可能听说过浏览器开始不信任旧的根证书。这是一项根本性的策略更改,可能会对依赖旧信任存储的设备和服务产生影响。但是,通过适当的规划和正确的证书颁发机构(CA)合作伙伴,您可以顺利完成这一过渡,以使您的运营面向未来。
我们的技术支持团队24/7全天候提供服务,帮助您了解自定义证书选项并规划您的迁移策略。
旧的根证书颁发机构不信任发生了什么?
15年SSL证书规则解释以Mozilla和GoogleChrome 为首的主要浏览器供应商已经实施了新政策,当其加密密钥达到15年大关时,这些政策会自动不信任根证书。
虽然这从表面上看似乎是一个任意的数字,但它是一项经过深思熟虑的安全措施,旨在确保互联网安全基础设施在最新和不断变化的网络安全威胁方面保持领先地位。
展开剩余87%实际上,超过15年的根证书将被删除其网站的信任信号。S/MIME证书在被不信任之前面临18年的限制,并且必须在2028年12月31日之前分离处理TLS和S/MIME的两用数字证书。
该政策为证书颁发机构在浏览器信任存储中提供了大约10年的有效使用时间,这包括实现广泛浏览器包含通常需要的2到3年以及平滑过渡所需的时间。
为什么浏览器不信任对企业SSL 证书很重要
当根证书不受信任时,从该根层次结构颁发的每个证书都会因此变得不受信任。这种级联效应可能会导致向网站访问者显示安全警告,从而可能导致消费者信心丧失和收入损失。它需要提前进行紧急恢复工作,以避免破坏性的业务影响。
COCOSSL证书是CA/浏览器论坛的积极参与者,并采取积极措施领先于信任存储策略的变化。我们推出了2022年根证书系列,专为满足当前和未来的浏览器要求而设计。
根信任存储的作用:了解信任存储管理
信任存储是包含受信任根证书的存储库,充当所有连接设备和应用程序的证书验证链的最终机构。每个作系统、浏览器和应用程序都维护自己的信任存储,作为确定证书是否应受信任的参考点。
但是,如果根证书丢失、过时或由于不信任策略而被删除,则整个验证过程将失败。
过时信任存储的危险组织
经常低估与过时信任存储相关的风险,特别是在具有不同设备生态系统的环境中。它们可能会造成严重的运营中断,包括:
内部系统中普遍存在证书验证失败 无法与外部合作伙伴和服务建立安全连接 强制安全通信的受监管行业中的合规性问题 潜在的收入损失对于可能无法定期接收信任存储更新的遗留设备和嵌入式系统,这个问题变得尤为严重。工业物联网设备、较旧的移动设备、遗留服务器系统和专用设备通常使用多年未更新的信任存储运行,这使得它们在部署较新的证书时容易出现验证失败。
主动信任存储管理策略
PKI管理员和设备管理员可以采取多种主动步骤来避免与信任存储相关的问题。考虑实施全面的信任存储审核流程,对环境中的所有设备和系统进行编目,记录其更新机制和计划,识别需要手动更新的设备,并在所有系统中建立可信根证书的基线清单。与设备制造商和软件供应商定期沟通信任存储更新计划也可以帮助您的组织领先于任何潜在问题。
还建议制定系统的更新策略,包括尽可能的信任存储更新自动化、验证更改测试协议以及出现兼容性问题时的回滚过程。
COCOSSL证书服务平台的2022 年根证书
现代根证书专为未来而构建,旨在通过优化信任和增强的安全性来帮助您的企业避免意外中断:
COCOSSL证书服务平台TLSRSA 根CA2022
SHA256指纹:8FAF7D2E2CB4709BB8E0B33666BF75A5DD45B5DE480F8EA8D4BFE6BEBC17F2ED 针对服务器身份验证进行了优化 实现浏览器的全面普及COCOSSL证书服务平台TLSECC 根CA2022
SHA256 指纹:C32FFD9F46F936D16C3673990959434B9AD60AAFBB9E7CF33654F144CC1BA143 基于 ECC 以增强安全性和性能 面向未来的加密算法信任商店覆盖我们的2022年根已在所有主要平台上实现了全面信任,包括国际上的GoogleChrome(包括2024年3月)、MozillaFirefox(包含在NSS3.92 中)、MicrosoftWindows(2023年11月添加)、Apple平台(macOS、iOS)、Linux发行版(Ubuntu、RedHat 等)和Java环境(Oracle、IBM)。国内的全部。
保护组织免受旧根证书颁发机构不信任的4 步指南
第1步:评估您当前的证书库存
在进行任何更改之前,必须了解您当前的证书情况。对组织中的所有SSL/TLS证书进行编目,识别每个证书的根证书层次结构,验证到期日期和续订计划,并记录可能具有兼容性要求的任何旧设备。
第2步:为新证书请求规划迁移策略:
请求链接到COCOSSL证书服务平台的 2022 根层次结构的证书 根据您的安全性和性能要求指定 RSA 或 ECC 确保证书服务代表了解您的时间表对于现有证书:
计划续订以与不太频繁的根层次结构更新相吻合 优先考虑面向 Internet 的系统以进行早期迁移 为内部系统创建测试计划第3步
对于Apache服务器:
apache
SSLCertificateFile/path/to/your-certificate.crt
SSLCertificateKeyFile/path/to/your-private.key
SSLCertificateChainFile/path/to/ssl-com-ca-bundle.crt
对于Nginx服务器:
nginx
ssl_certificate/path/to/your-certificate-with-chain.crt;
ssl_certificate_key/路径/到/your-private.key;
专业提示:始终包含完整的证书链,包括中间证书,以确保正确验证。
第4步:彻底测试(特别考虑旧设备支持)
根证书更新的最大问题之一是保持与可能无法接收信任存储更新的旧设备的兼容性。这对于工业物联网设备、嵌入式系统、传统移动设备和旧作系统尤其重要。
专业提示:使用环境中的实际设备(尤其是较旧的设备)进行测试,以验证证书安装,验证证书链是否完整且排序正确,并在部署后监控任何连接问题。
立即行动,避免以后
对浏览器的不信任中断较旧的根证书颁发机构不信任并不是一个遥远的问题;它现在正在发生。主动规划的组织将顺利完成这一过渡,而那些等待的组织可能会面临严重的业务中断。
15年的SSL证书不信任政策已经对旧证书生效。COCOSSL证书服务平台的2022年根目录在所有主要浏览器和平台上都受到完全公开信任。主动迁移始终是比被动紧急修复更有利的选择。专家支持可以帮助确保平稳过渡并显着降低代价高昂的中断风险。
与COCOSSL合作
不要让过时颁发的证书使您的业务面临风险。COCOSSL证书服务平台的专家可以帮助您评估当前的证书基础结构,并设计适合您业务的迁移时间表。
我们的团队在整个实施过程中提供技术支持。我们还提供持续监控和证书生命周期管理。
除了基本的SSL/TLS证书之外,COCOSSL证书服务平台还提供全面的解决方案,包括具有自动重新颁发功能的多年证书计划、生命周期管理工具、为企业环境量身定制的定制PKI解决方案以及来自专家证书专家的24/7技术支持。COCOSSL证书的现代根层次结构和专家支持团队随时准备帮助您自信地完成这一过渡。
发布于:广东省富灯网配资提示:文章来自网络,不代表本站观点。
