繁琐的SSL新规正把证书管理变成噩梦,企业或将逃离传统机构。
我(原文作者)负责公司里SSL证书的审批。过去几年,我慢慢摸索出了一套顺畅的流程:谁该做什么都清清楚楚,大家配合默契,也不会因为换证书而抱怨太多。最初,这只是每季度或者每两个月一次的小任务;现在,却越来越频繁,几乎变成了每月甚至每周的例行公事,完全取决于证书什么时候到期。
我理解证书的重要性,也感谢它们带来的信任。它们是数字安全的基石,支撑着VPN、WiFi、邮件、网站、API等等。但问题是,这件事正变得越来越荒唐。当几乎所有的安全体系都依赖证书时,不断增加的管理负担只会让人疲于奔命,安全效果却未必能成比例提升。久而久之,我怀疑这会把很多企业逼离传统的证书颁发机构。
曾经,我们的证书提供商还允许多种验证方式。2021年,他们宣布通配符证书不再能用文件验证,而普通证书则要求每一个域名都要单独验证。那时虽然有点烦,但还算可控,我们用了一些自动化工具,续期并不太难。
文件验证确实存在风险,一个残留的DNS记录或者服务器配置错误,就可能让证书被劫持。我常建议用AWS或GCP这类平台的企业,定期清理DNS,否则可能会对发现的情况大吃一惊。
如今,我们只剩两种验证手段:DNS TXT记录和邮箱验证。后者几乎没法用——谁会为每个子域名都建一个邮箱?试想一下,当我需要为test.lab.corp.example.com换证书时,系统却要求验证[webmaster@test.lab.corp.example.com](mailto:webmaster@test.lab.corp.example.com)这个邮箱,可这个邮箱根本不存在。于是,唯一靠谱的就剩下DNS验证了。它安全,也不算耗时,但依赖于严格受控的DNS权限。
不止是验证方式在变化。为了防范BGP劫持和DNS欺骗攻击,从下个月开始,DigiCert以及其他颁发机构都会强制启用多视角验证(MPIC)。简单来说,证书颁发机构必须从全球不同的网络节点同时验证域名,以减少被攻击的风险。听起来不错,但我疑惑:究竟有多少公司真的因为BGP攻击而出现过证书误发?Wikipedia上能找到的案例只有2021年韩国一家加密货币公司,损失190万美元。那问题来了,整个行业在应对这项新规时,会不会花掉比190万多得多的钱?
更令人崩溃的是证书的有效期。过去825天的确太长,十年更是夸张,但现在缩到397天,其实还算合理:既能保证轮换,又不会让人手忙脚乱。可到了2029年3月15日,最长有效期将变成——47天。没错,只能用47天。
换句话说,证书的管理几乎会变成一项全年无休的差事。或许到那时候,AI已经替我干掉这份工作了,但我并不乐观。对于资金充足、配备几十名工程师的巨头来说,这只是“再多做点小事”;而对我们这些人手有限、疲于应付的人来说,这简直是在掐死工作节奏。
我承认他们给了三年的过渡期,但这并不是真正的帮助。对于我们这种还在努力推进基础改进的团队来说,这意味着未来几年我们的工作路线已经被替别人写好了。
我几乎能预见,像DigiCert这样的机构会从这些规则里赚更多的钱。他们甚至提供咨询服务,帮你整合PKI和DNS,自动完成验证。但前提是你得付费,得联系销售。可我认为,更多公司会转向其他选择:只要平台服务里自带证书管理功能,我们宁愿直接把这部分交给平台,即便要多付点钱,也值得换来几个工程师的解放。
归根结底,这些不断增加的验证要求和缩短的有效期,本意是提升安全,可累积起来,却让人难以承受。学术上它们似乎合理,但在现实世界里,IT部门的疲劳和资源匮乏同样真实存在。或许那些制定规则的人知道,也可能根本不在乎。
而我很清楚的一点是:我和我的团队正在加速摆脱对传统证书机构的依赖,把更多证书交给平台和自动化工具,甚至转向免费的Let’s Encrypt。问题当然不会彻底消失,比如ACME协议仍需要团队来维护客户端、管理密钥、监控报警,可至少,它不会让我们每天都在担心下一次证书过期会不会压垮整个系统。
这些改变是否让互联网更安全?或许吧,也许真的。但至少对我们而言,它让安全与生产力之间的天平,失衡得越来越厉害。
2025王摸鱼秋款卫衣,玩梗系列