欢迎来到公海710 一张过期的证书可能会毁掉您的业务。这是您在 2029 年之前需要做的事情
想象一下:现在是周日凌晨 2 点。您的企业所依赖的应用程序的 TLS 证书将过期。没有人在看它。没有及时发出警报。当有人接到电话时,损害已经造成。
这不是一个假设。这是 Alchemy 技术集团和 CyberArk 在 Alchemy In The Lab 第二届会议上进行的对话,而这正是组织现在需要规划的场景。
命令是真实的,而且时钟正在运行
CA/浏览器论坛(包括 Microsoft、Apple、Google 和主要证书颁发机构在内的管理机构)为 TLS 证书的有效期设定了严格的时间表。截至 2026 年 3 月,所有新 TLS 证书的最长有效期为 200 天,低于 398 天。到 2029 年,该数字将降至 47 天。
这不是建议。强制执行发生在浏览器根程序级别。如果您的证书不符合要求,浏览器可能会阻止访问您的门户网站、面向客户的应用程序以及任何具有基于浏览器的前端的内部系统。业务影响是直接且立竿见影的。
数学很快就会变得不舒服
寿命越短,续订就越频繁。当证书的有效期为 200 天时,大多数组织大约每年更新两次。然而,由于缓冲区的使用寿命缩短为 47 天,因此更新周期变为大约每 40 至 42 天一次。这一变化促使一些组织每年对每个证书进行 10 到 11 次续订周期。
这在实践中意味着什么。目前管理 500 个外部证书的组织到 2029 年可能会面临多达 10,000 个证书生命周期事件。拥有 100 个证书的组织将面临大约 1,200 个续订周期。每个证书的手动证书管理平均需要 3 到 5 个小时,其中 75% 的工作量落在 IT 和 DevOps 团队身上,而不是 PKI 团队。按 1,200 个周期计算,这相当于近 4,800 个小时的潜在工作时间。对于大多数团队来说,如果没有自动化,这个数字是无法管理的。
您的曝光率可能比您想象的要多
大多数组织低估了其证书库存。原因在于分类。多年来,许多团队将证书标记为“内部”,因为它们支持内部应用程序。但如果这些应用程序具有基于浏览器的前端,那么支持它们的证书可能会受到 CA/浏览器论坛授权的保护。
通配符证书又增加了一层风险。一个通配符证书通常跨越多台计算机。如果该证书过期,它所覆盖的每台机器都会出现故障。在 47 天的世界中,除非组织转向自动化使之可行的一对一证书到机器模型,否则单点故障会成为反复出现的操作风险。
自动化是唯一可行的前进道路
证书生命周期涉及三个不同的阶段:注册、配置和过期。在大多数组织中,这些阶段由不同的团队负责。这种交接结构以 398 天为一个周期。 47 天后就不起作用了。
CyberArk 的机器身份平台通过与 AWS、Azure、Google Cloud、Citrix、Apache、Tomcat、负载均衡器和 SIEM 的 300 多个本机集成,自动执行从注册到过期的整个生命周期。该平台还扩展到 SSH 密钥轮换、工作负载身份、AI 身份和代码签名。对于已经考虑后量子加密或 Kubernetes 环境的组织来说,更广泛的范围很重要。
Alchemy 的作用是将技术问题与业务案例联系起来。这意味着映射您的实际证书库存,计算实际工作负载预测,并构建考虑到 2026 年要求及之后情况的路线图。
现在就采取行动,而不是 2028 年
阶段推出的目的是专门为组织提供准备时间。那扇窗户正在关闭。现在开始的团队有空间审计库存、识别错误分类的证书、评估自动化平台以及构建内部预算案例。等待的团队将在压力下管理一堵工作墙。
观看完整会议、请求证书扫描或预订策略会议,以了解您的组织目前的状况。
请求免费证书扫描。
CyberArk 的外部证书扫描是无代理且非侵入式的。它仅扫描面向公众的域,无需安装软件,并返回有关外部证书暴露的报告。请联系 Alchemy 以开始使用。
预订身份策略策划者
与 CyberArk 安全专家举行的补充会议,涵盖人类和机器身份态势。建议 CIO 和 CISO 评估机器身份在其更广泛的安全策略中的适用范围。请联系 Alchemy 安排时间。
作者
皮特·唐宁