由于民主党和唐纳德特朗普之间的墨西哥边境墙问题陷入僵局导致部分美国政府关闭,数十个政府网站无法再被访问或被标记为使用不安全的连接,因为他们的TLS证书尚未更新。
美国司法部,美国国家航空航天局和上诉法院的网站是政府未能扩展大约80个.gov域名上使用的TLS证书的一些网站。
现在无法访问HSTS预加载列表中包含过期证书的.gov网站
其中一个受此次事故影响的网站是司法部,它会显示一条错误消息,警告访问者该连接不是私密或安全的,具体取决于所使用的Web浏览器。
更糟糕的是,因为ows2.usdoj.gov也在Chromium的HTTP严格传输安全(HSTS)预加载列表中,因为Google Chrome和Mozilla Firefox都会自动隐藏按钮,允许用户暂时忽略该网站,因此无法访问该网站警告并打开网站。
已过期ows2.usdoj.gov TLS证书
此外,看到大多数其他网络浏览器也使用他们自己的基于Chrome浏览器的HSTS预加载列表,用户无法加载暂时被过期的TLS证书破坏的.gov网站。
在用户点击警告结束时的“高级”按钮并选择继续之后,不在HSTS预加载列表上的政府站点将打开,但这样做存在风险。
为什么ssl证书会过期?
很多人第一直觉是CA机构为了收费所以设置了有效期,这确实是其中一个原因,还处于对安全方面的考虑,CA机构也不能保证一个网站永远是合法的,所以需要定期的来检查一下网站,此外还有一个重要的原因是吊销,当网站的私钥丢失时,网站应该向证书颁发机构CA申请将他们的证书加入到证书吊销列表里。当用户访问https站点时,浏览器会自动向CA请求吊销列表,如果用户访问的站点提供的证书在CRL里,浏览器就不信任这个证书,因为攻击者可能拥有同样的证书。
所以如果证书永久有效,随着越来越多的私钥丢失,吊销列表也越来越大,因为只有加进去的,没有剔出去的,这既给CA增加流量压力,也会增加浏览器的流量。而一旦有效期只有几年,那么CA就可以将那些已经过期了的证书从CRL里剔除就可以了,是不是很专业,总之就是把一些不信任的证书剔除掉。
使用过期的证书会发生的风险
ssl证书能保证网站流量不被劫持,一旦ssl证书过期失效,那么网站流量就很有可能被劫持。对于普通网民来说,如果他们的浏览器警告他们网站不安全,或者在这种情况下他们的连接不安全,那么大多数网民一定会选择不再继续访问该网站。
SSL证书过期应该怎么办?
如果您的ssl证书过期了,将无法继续使用,您需要在您的证书到期前到数安时代GDCA办理续费。续费完成后,证书服务系统将复制当前证书订单的信息到续费订单中,同时自动将续费证书订单提交审核。
审核通过后,您将获得一张新的数字证书,您需要在您的服务器上安装新的数字证书来替换即将过期的证书。并且到期之前数安时代GDCA会提醒您证书到期,办理手续。
我国经过国际Webtrust标准认证的CA机构仅有3家,而数安时代就是其中之一,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌。数安时代以最安全的解决方案、专业的技术支持团队用户提供最权威的认证服务和最安全的认证保障。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供7*24一对一服务与技术支持。如有需要可咨询客服。
