CFCA提醒您：

網路千萬條，安全第一條。

部署不規范，運維兩行淚。

　　網絡星球上的企業居民，2019年，您的網站需要高度重視以下政策及標準，以防“裸奔”！

　　1. TLS 1.0/1.1逐步淘汰，TLS 1.2/1.3 默認啟用

　　中國金融認證中心（CFCA）曾于2018年11月介紹過，全球主流瀏覽器及操作系統將陸續取消對SSL 3.0/TLS 1.0/TLS 1.1的支持，谷歌、微軟、火狐、蘋果對SSL3.0/TLS1.0/TLS1.1的支持截止到2019年12月，2020年起，對仍舊使用SSL3.0/TLS1.0/TLS1.1協議的網站，將進行強制的不安全提示或禁止訪問。

　　近期，蘋果iOS 12.2 開發者版本中默認全局啟用TLS 1.3，谷歌宣布自Chrome 81版本起全面移除TLS 1.0及TLS 1.1，這一系列舉動再次證明主流應用及操作系統廠商對落后協議的淘汰！對于仍不支持TLS1.2及TLS1.3的網站或應用，應立即行動起來著手支持新的安全協議，以避免自己的網站無法訪問。

　　2. 及時進行證書更新，避免過期影響業務訪問

　　2018年12月22日至2019年1月25日，美國聯邦政府市場最長時間的停擺不僅讓廣大美國公民的生活不便，多數政府網站因此次停擺期間證書過期，無人操作更新，導致無法訪問，其中不乏政府公共事業繳費及遠程訪問等關鍵網站系統的證書，包括NASA、司法部、白宮網站均受影響。

　　CFCA的證書到期提醒服務自證書到期前3個月，以郵件、人工等多種渠道提醒客戶進行更新，保障客戶的網站不因重大節假日無人值守造成影響。2019年春節，CFCA提前完成所有客戶網站證書更新，春節期間無任何用戶的網站因證書到期問題無法訪問。

　　3. 謹慎控制證書適用范圍

　　2月，Apple短暫吊銷了Facebook及Google的企業開發者證書，原因是Facebook及Google利用企業開發者證書為應用簽名，繞過Apple應用商店的審核機制，直接發布給最終用戶，違反了Apple的開發者證書使用協議。

　　數字證書應用已滲透進主流操作系統的各個環節，應用發布、后臺通信等，此次事件說明，控制證書使用分發是必要的。CFCA也一直在提醒客戶，申請完畢CFCA的證書，一定要注意保存證書密鑰對，特別是網站SSL證書，若因證書分發不當導致私鑰泄露，網站就完全“裸奔”在互聯網星球了。CFCA提醒您：網路千萬條，安全第一條；部署不規范，運維兩行淚！

　　CFCA作為CA/B論壇的重要成員，在2018年成功舉辦第45次論壇會議。CFCA的全球信任服務器證書，支持TLS1.2/TLS1.3調用，并積極探索SM2/SM3等中國商用密碼算法的應用推廣。擁有深耕金融領域多年的雄厚實力，CFCA對協議運用、弱算法套件排查和解決等均有成熟解決方案，歡迎聯系我們獲取更多資訊！

　　本文中部分語句改編自電影《流浪地球》臺詞。

責任編輯：韓希宇