今天早上,网传 Apple Music 出现证书过期,导致服务中断。据称影响范围为国区 Apple Music。有趣的是,就在一个月前,苹果公司刚刚宣布了一项计划,拟将SSL/TLS安全证书的有效期逐步从当前的398天大幅缩短至2027年的45天。
结果刚提出没多久,苹果立马就忘了更新自己的证书。属实是回旋镖正中自己的脑门,蛮丢脸的。
从过期的证书来看,苹果使用的证书有效期是 180 天 六个月的版本。看起来似乎他们也没有设置自动更新证书的轮换程序,或者说设置了也没有生效 —— 也有一种可能,它们用的也是土办法:把证书有效期记录在某个 Excel 表格中,由运维老师傅管理。
以前,SSL证书的有效期曾长达 8 年,但近年来为了提升互联网安全性证书的有效期逐步缩短。2015年,CA/B 论坛(证书颁发机构和浏览器供应商的行业组织)将最大有效期缩短至 39 个月;2018 年 3 月,证书最大有效期进一步缩短至 825 天(约 27 个月);
2020 年 9 月 1 日,根据苹果、谷歌和 Mozilla 等主要浏览器厂商的要求,SSL/TLS 证书的最大有效期被缩短至 398 天(约 13 个月)。而就在一个月前,苹果的新提议将进一步缩短证书的有效期,计划在2025年缩短至200天,2026年缩短至100天,最终在2027年降至45天。
缩短证书有效期在理论上有助于提高互联网安全性(因为如果证书丢失,攻击者有更长的使用时间),但管理这些证书的重任往往落在网站和系统管理员的肩上。
尽管理论上有 acmebot 之类的自动化工具可以自动申请免费的 HTTPS 证书,但并非所有系统都可以用自动化系统来进行证书管理。很多网管与运维都对此颇有怨言 —— 这不是给我们增加几倍工作量么。
老冯认为,安全与活性应该取得一个适度平衡,如果过分强调某一方面的安全,反而可能会因为连锁反应导致整个系统的不安全 —— 例如,将证书有效期缩短理论上可以减少攻击者得手后的利用时间,但也可能导致更多的网站因为管理疏忽导致服务不可用,甚至因为管理压力负担直接摆烂躺平。
证书过期导致客户端中断有不少鲜活案例,例如,之前淘宝官网 taobao.com 的证书就出现过过期 的情况。这次硅谷大手子也难以免俗,再次彰显了草台班子理论的泛用性。
云计算泥石流
对 PostgreSQL, Pigsty,下云 感兴趣的朋友
欢迎加入 PGSQL x Pigsty 交流群(备注加PG群)
(这个小助手很懒,请使劲拍打他)
2024-10-17 WordPress社区内战:论共同体划界问题
2024-10-07 记一次阿里云 DCDN 加速仅 32 秒就欠了 1600 的问题处理(扯皮)。
2024-10-03 本号收到美团投诉:美团没有存储外卡CVV等敏感信息
2024-10-02 某平台CVV泄露:你的信用卡被盗刷了吗?
2024-09-17 阿里云:高可用容灾神话的破灭
2024-09-15 阿里云故障预报:本次事故将持续至20年后?
2024-09-14 阿里云盘灾难级BUG:能看别人照片?
2024-09-10 阿里云新加坡可用区C故障,网传机房着火
2024-08-21 这次轮到WPS崩了
2024-08-20 草台班子唱大戏,阿里云RDS翻车记
2024-09-19 我们能从网易云音乐故障中学到什么?
2024-08-15 GitHub全站故障,又是数据库上翻的车?
2024-07-23 全球Windows蓝屏:甲乙双方都是草台班子
2024-07-02 阿里云又挂了,这次是光缆被挖断了?
2024-06-22 性学家,化学家,软件行业里的废话文学家 马工
2024-05-23 Ahrefs不上云,省下四亿美元
2024-05-11 删库:Google云爆破了大基金的整个云账户
2024-04-30 云上黑暗森林:打爆云账单,只需要S3桶名
2024-04-23 赛博菩萨Cloudflare圆桌访谈与问答录
2024-04-22 云计算:菜就是一种原罪
2024-04-20 taobao.com证书过期
2024-04-17 腾讯真的走通云原生之路了吗? 马工
2024-04-14 我们能从腾讯云故障复盘中学到什么?
2024-04-12 云SLA是安慰剂还是厕纸合同?
2024-04-09 腾讯云:颜面尽失的草台班子
2024-04-08 【腾讯】云计算史诗级二翻车来了
2024-04-03 吊打公有云的赛博佛祖 Cloudflare
2024-04-02 牙膏云?您可别吹捧云厂商了
2024-04-01 罗永浩救不了牙膏云
2024-03-26 Redis不开源是“开源”之耻,更是公有云之耻
2024-03-25 公有云厂商卖的云计算到底是什么玩意? 马工
2024-03-21 迷失在阿里云的年轻人
2024-03-14 RDS阉掉了PostgreSQL的灵魂
2024-03-13 云计算反叛军联盟
2024-03-10 剖析云算力成本,阿里云真的降价了吗?
2024-02-02 DBA会被云淘汰吗?
2024-01-16 单租户时代:SaaS范式转移
2024-01-09 互联网技术大师速成班 马工
2024-01-04 门内的国企如何看门外的云厂商 Leo
2023-12-29 卡在政企客户门口的阿里云 马工
2024-01-12 云计算泥石流
2024-01-10 拒绝用复杂度自慰,下云也保稳定运行
2023-12-27 扒皮对象存储:从降本到杀猪
2023-12-22 半年下云省千万:DHH下云FAQ答疑
2023-12-06 互联网故障背后的草台班子们 马工
2023-11-29 从降本增笑到真的降本增效
2023-11-27 阿里云周爆:云数据库管控又挂了
2023-11-17 重新拿回计算机硬件的红利
2023-11-14 我们能从阿里云史诗级故障中学到什么
2023-11-12 【阿里】云计算史诗级大翻车来了
2023-11-09 阿里云的羊毛抓紧薅,五千的云服务器三百拿
2023-11-06 云厂商眼中的客户:又穷又闲又缺爱 马工
2023-10-29 是时候放弃云计算了吗?
2023-07-08 云计算泥石流合集 —— 用数据解构公有云
2023-07-07 下云奥德赛
2023-07-06 FinOps终点是下云
2023-06-14 云计算为啥还没挖沙子赚钱?
2023-06-12 云SLA是不是安慰剂?
2023-04-28 杀猪盘真的降价了吗?
2023-03-15 公有云是不是杀猪盘?
2023-03-08 垃圾腾讯云CDN:从入门到放弃
2023-03-01 驳《再论为什么你不应该招DBA》
2023-02-03 范式转移:从云到本地优先
2023-01-31 云数据库是不是杀猪盘
2023-01-31 你怎么还在招聘DBA? 马工
2023-01-30 云数据库是不是智商税
2022-05-16 云RDS:从删库到跑路
