CFCA提醒您：

网路千万条，安全第一条。

部署不规范，运维两行泪。

　　网络星球上的企业居民，2019年，您的网站需要高度重视以下政策及标准，以防“裸奔”！

　　1. TLS 1.0/1.1逐步淘汰，TLS 1.2/1.3 默认启用

　　中国金融认证中心（CFCA）曾于2018年11月介绍过，全球主流浏览器及操作系统将陆续取消对SSL 3.0/TLS 1.0/TLS 1.1的支持，谷歌、微软、火狐、苹果对SSL3.0/TLS1.0/TLS1.1的支持截止到2019年12月，2020年起，对仍旧使用SSL3.0/TLS1.0/TLS1.1协议的网站，将进行强制的不安全提示或禁止访问。

　　近期，苹果iOS 12.2 开发者版本中默认全局启用TLS 1.3，谷歌宣布自Chrome 81版本起全面移除TLS 1.0及TLS 1.1，这一系列举动再次证明主流应用及操作系统厂商对落后协议的淘汰！对于仍不支持TLS1.2及TLS1.3的网站或应用，应立即行动起来着手支持新的安全协议，以避免自己的网站无法访问。

　　2. 及时进行证书更新，避免过期影响业务访问

　　2018年12月22日至2019年1月25日，美国联邦政府市场最长时间的停摆不仅让广大美国公民的生活不便，多数政府网站因此次停摆期间证书过期，无人操作更新，导致无法访问，其中不乏政府公共事业缴费及远程访问等关键网站系统的证书，包括NASA、司法部、白宫网站均受影响。

　　CFCA的证书到期提醒服务自证书到期前3个月，以邮件、人工等多种渠道提醒客户进行更新，保障客户的网站不因重大节假日无人值守造成影响。2019年春节，CFCA提前完成所有客户网站证书更新，春节期间无任何用户的网站因证书到期问题无法访问。

　　3. 谨慎控制证书适用范围

　　2月，Apple短暂吊销了Facebook及Google的企业开发者证书，原因是Facebook及Google利用企业开发者证书为应用签名，绕过Apple应用商店的审核机制，直接发布给最终用户，违反了Apple的开发者证书使用协议。

　　数字证书应用已渗透进主流操作系统的各个环节，应用发布、后台通信等，此次事件说明，控制证书使用分发是必要的。CFCA也一直在提醒客户，申请完毕CFCA的证书，一定要注意保存证书密钥对，特别是网站SSL证书，若因证书分发不当导致私钥泄露，网站就完全“裸奔”在互联网星球了。CFCA提醒您：网路千万条，安全第一条；部署不规范，运维两行泪！

　　CFCA作为CA/B论坛的重要成员，在2018年成功举办第45次论坛会议。CFCA的全球信任服务器证书，支持TLS1.2/TLS1.3调用，并积极探索SM2/SM3等中国商用密码算法的应用推广。拥有深耕金融领域多年的雄厚实力，CFCA对协议运用、弱算法套件排查和解决等均有成熟解决方案，欢迎联系我们获取更多资讯！

　　本文中部分语句改编自电影《流浪地球》台词。

责任编辑：韩希宇