近日公司内部多个App出现License证书过期导致App不可用事件。原因很简单,因为运维人员没有在用户报障之前发现证书过期并及时更换。
其实像这类忘记续期和更换数字证书的错误,在很多企业里面都是可能会发生的。前有特斯拉证书过期导致车辆无法正常解锁,后有LinkedIn的HTTPS证书两年内接连两次过期导致站点停机。可以看到,BATJ这类大厂,都不乏证书过期导致的故障,因为在企业内部的应用中,运维人员面对各式各样的应用系统和数字证书,大多数证书一两年更换一次,更有证书短则三个月更换一次。如果没有很好的工具进行检测和通知,会经常被遗忘在运维忙碌的技术支持工作中。
疑惑一:
很多人想问,为啥这类情况经常会被忘记?人们的第一反应,可能会觉得证书过期管理这么个小事情都搞不好,是不是人的问题?但是业界这么多知名厂商都中招,我想不能简单的把问题归因为人不行,这是思维的懒惰啊!或者说,你得出一个人不行的结论,又能怎样呢?对解决这个问题没有任何帮助。
疑惑二:
既然证书过期会产生这么大的破坏力,咱们就破财消灾,买一个10年有效期的证书,如果价格可以接受,咱们就买一个永不过期的证书,是不是可以一劳永逸的解决问题?多么完美的解决方案,这样就不再需要考虑证书过期的事情了。事实上,数字证书一般由第三方的法定数据认证中心机构签发,以数据证书为核心的加密技术对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,从而保障网络应用的安全性。所以,在保障可用性的前提下,定期的更新保障安全才是解决问题的核心。
证书过期的不利影响
- 导致企业业务意外中断,无法正常运营,严重的会导致资金损失;
- 导致网站或app处于高安全威胁:数据和敏感信息被窃取、被篡改、被中间人攻击。
- 给公司、品牌形象带来负面影响。
如何避免证书过期?
如果证书过期,需要在第一时间联系证书签发厂商及时进行续签,但最好的办法是做好证书管理工作,避免证书过期造成以上不利后果。那么如何做好证书管理呢?
1. 收口:证书收口到专门的团队进行管理。
2. 工具支持,有效管理:借助工具实现证书的闭环管控,包括证书更新、证书申请、证书部署、证书检测、证书告警。
以上两条只是大致思路,具体实施的时候还要结合企业的自身情况落地执行
