cert-manager 密钥轮换策略的重大安全改进

在 Kubernetes 证书管理工具 cert-manager 的最新开发进展中，开发团队决定对密钥的轮换策略进行重要调整。这项变更将显著提升系统的安全性，同时解决现有默认配置可能带来的安全隐患。

背景与问题分析

cert-manager 当前版本中，KeyRotationPolicy 的默认值为 Never，这意味着当证书需要更新时，系统默认会保留原有的密钥。这种设计虽然在某些特定场景下有用，但却带来了潜在的安全风险：

1. 安全假设冲突：大多数用户会自然地认为，重新颁发证书时系统会同时生成新的密钥对。这种认知与当前默认行为存在差异。
2. 密钥泄露风险：如果密钥不慎泄露，用户执行证书更新操作时，系统仍会继续使用已泄露的密钥，无法自动修复安全问题。
3. 文档依赖度高：当前仅通过文档说明这一行为特性，但大多数用户不会深入阅读所有文档细节。

技术解决方案

开发团队经过讨论后确定了以下改进方案：

1. 默认值变更：将 KeyRotationPolicy 的默认值从 Never 改为 Always，确保每次证书更新时自动生成新的密钥。
2. 过渡机制：通过引入特性开关(Feature Gate)提供平滑过渡：
   • 在 cert-manager v1.18 中以 beta 级别引入该变更
   • 未来版本(v1.19 或更高)中将该特性升级为 GA 并移除禁用选项
3. 兼容性保障：对于确实需要保留旧行为的用户，可以通过显式设置 rotationPolicy: Never 来维持原有功能。

实施细节

为了确保变更平稳进行，开发团队采取了多项措施：

1. 版本回溯警告：在 v1.16 和 v1.17 版本中添加警告信息，提示未显式设置 rotationPolicy 的 Certificate 资源。
2. Helm 安装提示：在 Helm chart 的 NOTES.txt 中添加升级警告，确保管理员在部署时能够注意到这一变更。
3. 渐进式推广：采用特性开关机制，允许用户在过渡期内选择是否启用新行为。

技术影响评估

这项变更对系统行为将产生以下影响：

1. 安全性提升：自动密钥轮换成为默认行为，降低了密钥长期使用带来的风险。
2. 性能考量：更频繁的密钥生成可能带来轻微的性能开销，但对大多数场景影响可忽略。
3. 特殊场景处理：需要保持密钥不变的场景(如某些特定的证书更新需求)需要显式配置。

最佳实践建议

对于不同阶段的用户，建议采取以下措施：

1. 新用户：无需特别配置，直接享受更安全的默认行为。
2. 现有用户：
   • 检查现有 Certificate 资源，确认是否有需要保持密钥不变的场景
   • 对于需要保持旧行为的资源，添加 rotationPolicy: Never 显式配置
   • 监控系统日志中的警告信息，及时处理相关提示
3. 集群管理员：
   • 在升级前评估变更影响
   • 考虑在测试环境先行验证
   • 制定相应的密钥管理策略

这项变更是 cert-manager 项目持续提升安全性的重要一步，体现了开发团队对安全最佳实践的承诺。通过合理的过渡机制和充分的警告提示，确保了变更的平稳实施，同时为用户提供了足够的适应时间。