The Cloudflare Blog
·
避免停机:现代替代方案取代过时的证书固定实践
💡
原文英文,约3100词,阅读约需12分钟。
📝
内容提要
证书固定已过时,现代标准包括短期证书寿命、定期轮换中间证书、增加证书透明度和多视角域控制验证。这些标准提供相同安全级别,减少管理负担和风险。
🎯
关键要点
- 证书固定已过时,现代标准包括短期证书寿命、定期轮换中间证书、增加证书透明度和多视角域控制验证。
- 证书固定依赖于证书的精确匹配,频繁的证书轮换导致客户端拒绝新证书,从而造成连接失败。
- Cloudflare观察到由于证书固定导致的客户报告的停机次数显著增加。
- 现代标准通过缩短证书有效期和定期轮换中间证书来提高安全性,减少管理负担。
- 证书透明度日志提供了监控和审计TLS证书发行的标准化框架,减少了对证书固定的需求。
- 证书固定的使用增加了管理复杂性和潜在的停机风险,尤其是在证书更新时。
- 推荐使用短期证书、CAA记录、证书透明度监控和多视角域控制验证等现代替代方案来提高安全性。
➡️
