近年来,互联网安全日益成为网站运营的核心要素之一,SSL证书作为保障数据传输安全的重要手段,受到广大站长和企业的高度重视。然而,全球知名域名注册商和证书颁发机构GoDaddy再次陷入争议——其于2025年5月30日发行的部分SSL证书遭遇了无法在苹果Safari浏览器中正常验证的问题,导致访问者频繁遇到“连接不安全”的警告,严重影响了网站的流量和信誉。本文将深入解析此次事件的技术根源、所涉及的证书透明度机制,以及由此引发的行业影响,帮助网站管理员及相关技术人员全面了解并有效应对该问题。SSL证书与证书透明度机制的基础理解为更好地把握事件全貌,我们首先简要介绍SSL证书的工作原理及其与证书透明度(Certificate Transparency, CT)的关系。SSL证书通过加密算法确保用户与网站之间的数据传输安全,防止数据被窃听或篡改。证书透明度是一项由互联网社区推动的安全机制,旨在增加SSL证书的公开可见性,防止恶意或错误签发的证书未被发现。
CT通过将证书或其预证书信息上传至公共日志,任何监控系统都能够实时检测到异常证书的产生,从而提高整体互联网安全水平。GoDaddy此次问题的起因,可追溯至CT日志系统的配置不一致。日志运营商DigiCert在提交两个新的CT日志Wyvern 2026h1与Sphinx 2026h1时,报告的证书有效期上限为2026年7月1日,但实际上这两个日志允许的证书有效期上限为2026年7月7日。这一日期差异虽仅数日,却为后续问题埋下了隐患。证书颁发机构GoDaddy在该期限之内发行了多份有效期到2026年7月7日的证书,并试图将这些证书的预证书信息上传至上述日志。然而,Safari浏览器严格依照由苹果与谷歌公布的日志有效期范围来验证证书,如果证书的有效期超出官方公布的范围,相应的签名证书时间戳(SCT)将被拒绝,导致浏览器判定该证书无效,进而显示“连接不安全”的错误提示。
这种机制虽然旨在保护用户安全,但在这起事件中反而使得大量证书无法正常使用,网站访问受阻。此次事件初期由SSL监控服务SSLMate通过其Cert Spotter工具检测到异常,及时向DigiCert报告。随后DigiCert与相关方紧急协商,最终选择调整CT日志配置以统一有效期,解决了导致Safari无法验证证书的问题。据统计,此次涉及的异常证书超过五千张,全部由GoDaddy发行,影响范围广泛。事件暴露了CT日志管理流程中对日志有效期配置的校验不足及人工干预带来的风险。虽然谷歌在事件发生前已推行日志元数据自动公布的JSON标准,减少了配置错误,但实际应用中仍存在差错,而GoDaddy方面显然未能严格遵循官方日志清单,可能采取了手动或非规范化的日志选择和证书上传流程,导致问题反复出现。
回顾历史,GoDaddy在CT透明度方面曾多次出现问题。早在2021年,它就因未完全符合苹果证书透明度新规而遭遇证书信任问题。更近期间,也曾被发现部分证书内含有签名无效的SCT,显著提高安全风险。这一连串事件表明,GoDaddy在证书签发及CT日志管理上的流程控制和技术执行还有待提升,亟需强化自动化及准确性,保障颁发的每一份证书都能被主流浏览器正确验证。此次事件对网站安全生态产生多重影响。首先,SEO及网站用户体验受损,Safari作为苹果系统默认浏览器,占据广泛用户基础,证书失效导致网站流量下降不可忽视。
其次,企业品牌形象遭到负面影响,在安全问题高度敏感的互联网环境中,更易引发用户信任危机。最后,整个证书颁发机构市场及监管体系对CT机制执行的盲点再度敲响警钟,各方应加强合作推动自动化、透明及标准化落地。为避免类似事故带来严重后果,网站管理员应时刻保持对证书状态的监督,定期使用证书透明度监控工具,如Cert Spotter这类服务,及时获得预警并更换受影响证书。同时,应关注证书发行机构的公告与技术更新,选择信誉可靠、具备良好技术管控的服务提供商。对于GoDaddy而言,面对持续的技术挑战,建议加快向自动化证书管理和智能CT日志消费模式转型,准确采纳并应用官方公布的日志元数据信息,避免人为错误带来的重复冲击。行业监管机构应推动基于机器可读日志元数据标准的全面采纳,并加强对证书颁发机构的合规监督,确保其遵守CT政策,保护用户利益。
苹果和谷歌等浏览器开发商亦需持续完善异常检测机制,加速对超出预期配置变动的日志或证书的自动识别与处理,降低人为失误带来的风险。总的来看,GoDaddy此次发布的无法在Safari浏览器中使用的SSL证书事件,是互联网安全体系中多方因素叠加的典型案例。它警示着行业内各方,依赖人工配置和复制传递的重要安全参数极易出错,推动自动化、透明度和实时监控成为保障全球互联网安全的关键方向。面对日益复杂的安全威胁,只有技术与管理双手并进,才能实现用户可信赖的网络环境,保护网站运营及数字经济的健康发展。
