苹果早前还提议将所有 TLS 数字证书有效期缩短至 45 天,这极大地考验 IT 管理员部署的自动续期能力,因为并非所有服务都能实现全自动续期 TLS 证书。
现在苹果自己也出现了类似问题,从今天早晨开始 Apple Music 使用的 TLS 数字证书过期,导致大量用户无法正常听歌。
注:目前苹果已经更新证书恢复 Apple Music 的正常播放。
当用户使用 Apple Music 听歌时会出现 play.itunes.apple.com 证书认证错误,蓝点网测试发现该证书已经在今天凌晨某个时候过期。
显然苹果自己也没处理好证书需求问题,尤其是 Apple Music 面向全球用户提供服务,可能部署了多个不同的节点和数字证书。
蓝点网多次测试发现苹果对 Apple Music 也采用分区解析,即不同区域的用户解析到服务器是不同的,其中有些用户仍然可以正常使用,因为解析到证书过期时间是 2025 年 1 月,如果解析到今天到期的这份证书那就没法正常听歌了。
不过对于 Apple Music 已经下载的音乐则可以继续听,不能听的主要是之前并未缓存或下载的音乐,这样需要连接服务器下载因而触发证书认证报错。
像苹果这样的失误在大型企业里很常见,因为有无数个域名、叠加分区解析因此会产生无数个数字证书,这些证书都需要及时进行维护,如果自动续期出现问题那就会导致大量用户受影响。
此前微软也经常因为忘记更新 TLS 证书导致某些服务例如 Microsoft Teams 等无法正常使用,所以以现在的实际情况来看,指望所有公司都能通过部署稳定的自动续签解决证书过期是不可能的事,苹果提出的将证书有效期缩短到 45 天估计会让更多服务也都出现类似 Apple Music 的这种事故。