CA机构根证书过期造成不良影响背后，企业应该吸取哪些教训？

CA机构根证书过期造成不良影响背后，企业应该吸取哪些教训？

发布时间：October 15, 2021

据悉，因Let 's Encrypt的DST Root X3根证书于2021年9月30日到期, Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall, Google Cloud, Fortinet, Cloudflare, Facebook, Sophos, cPanel, AWS等众多知名公司似乎均受到一定影响，目前，针对相关问题的讨论正在Let's Encrypt社区中火热进行。

▲ 图片来源于网络

Let 's Encrypt

Let 's Encrypt是一家总部位于加州的非营利认证机构，自2015年开始运营以来，该公司已累计为上亿网站颁发了巨量数字证书。在此次根证书过期事件给众多知名公司造成不可估量安全风险的同时，企业用户更应该从中吸取经验教训，通过购买付费证书为网站数据和身份认证安全提供更强的保障。

免费证书为什么不香了？

目前，包括上海CA等在内的很多机构都提供公益性质的免费证书，而这些免费证书主要是为了便于个人或企业用户在网站建设之初或业务需要使用HTTPS通信时进行测试，不建议业务成熟的企业类型网站使用。

• 免费证书仅支持绑定一个单域名，不支持绑定通配符域名或者IP。
• 免费证书不支持多张证书合并和OCSP本地化（可有效提升高HTTPS网站访问速度并降低服务器资源消耗）等高级特性。
• 由于免费证书是无偿提供给用户用于测试的，因此不支持任何免费的人工技术支持或安装指导。
• 此外，免费证书的提醒策略很难精确到每个组织，因此一旦证书过期，将给企业造成不可估量的损失。

对于企业等对安全性要求较高的网站，购买付费证书会更合适。其中，对于政府、金融、电子商务、医疗等组织或机构，我们更推荐使用OV型证书或安全等级较高的EV型证书。

由诸如上海CA等权威电子认证机构提供的网站证书可以在为网站/服务器提供可靠身份认证的同时，为网站数据传输提供安全通道，进而增强用户对您网站的信赖。因拥有包括PKI体系、证书运营体系等较为完善的服务体系，上海CA的数字证书服务受到广大客户认可。除了没有根证书过期风险之外，上海CA还为用户提供点对点的过期提醒和业务指导服务，进而避免因证书过期造成的其他风险。

证书过期有哪些风险？

证书过期会使网站用户面临诸如中间人攻击、数据包嗅探等基于网络的安全风险，这将直接导致用户隐私信息被盗。

除了为安全风险打开闸门之外，它还会降低站点SEO排名，导致流量损失和在线声誉损失等。目前，Chrome，Firefox等主流浏览器都会向无有效证书的网站发出安全警告，大大降低了客户体验度。

值得注意的是，全球的数据安全和隐私法要求网站所有者保护其用户或客户的较大利益，而不更新证书可能会使网站所有者与现有法律法规冲突。

根证书过期事件之后的兼容性问题

英国安全研究人员斯科特·赫尔姆(Scott Helme)是较早关注“Let 's Encrypt根证书过期”问题的专家。赫尔姆指出，事发后多家企业的网站和服务纷纷受到影响，目前部分公司的相关服务虽然已得到恢复，但部分用户后续仍面临风险，即那些未将ISRG Root X1纳入信任的旧设备在访问网站时仍可能会收到证书警告。

此外，他还表示，部分版本较低的客户端将在 IdenTrust DST Root CA X3 到期后中断，而上海CA对此有着更好的策略和兼容性，Let's Encrypt与上海CA UniTrust证书兼容性对比如下表：

构建更完善的证书信任体系

作为国内首批专业的第三方电子认证服务机构，上海CA始终肩负自主可信、创新发展的历史使命，在国产证书研发和推广的道路上不遗余力。

• 2008年，上海CA成为国内首批通过国际Webtrust认证的CA机构并将根证书内置于全球主流浏览器；
• 2020年，上海CA成为全国率先将SM2根证书内置入360安全浏览器和统信UOS操作系统信创根证书库中的数字信任服务厂商；
• 23年来，上海CA精心打造的“万维信”证书自有品牌，基于全生命周期自主管理、审核、签发能力为用户提供国产品牌的全球信任证书；

SHECA Unitrust

打造信任基石，维护国家安全，在通往数字信任的道路上始终有上海CA坚毅的身影，我们也将朝着构建更完善证书信任体系、成为卓越数字信任服务商的目标和方向稳步迈进！