如何安全高效管理SSL证书?“双证”值得考虑
发布日期:2020-05-20SSL证书是数字证书(数字证书包括:SSL证书、客户端证书、代码签名证书等)的一种,因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议,由受信任的数字证书颁发机构CA(如:沃通CA)在验证服务器身份后颁发的一种数字证书。
SSL证书(https安全证书)为网站和移动应用(APP)提供HTTPS保护,对数据流量加密,防止数据被监听、截取甚至篡改,同时也是网站的一种数字“身份证”,访客可以通过SSL证书中的使用者身份信息字段对网站的主办者进行身份确认,防止进入钓鱼网站。随着各个平台,尤其是浏览器厂商的大力倡导和推进,以及企业本身对网络安全的重视程度不断提高,SSL证书已经成为APP和网站的标准配置。
但部署了SSL证书之后,也不一定就安全放心,主要是因为:
1、SSL证书一次性只能签发最多27个月,也就是说一张SSL证书的生命周期其实很短,但更新SSL证书其实需要一定的时间,而在很多单位,经常发生忘记更新SSL证书的事情,直接导致的结果可能就是系统瘫痪,服务受到影响。这种事情还发生在特斯拉身上,就在近期,特斯拉一张证书没有更新,导致很多特斯拉车主无法打开车门,一时间特斯拉的官微充满各种不满。SSL证书过期前都要重新申请和审核,OV 和 EV 由于需要人工审核,从申请到下发证书一般要数个工作日,EV 型证书的审批时间将更长,注意这里说的是“工作日”。
沃通CA曾经接到过几个案例,某单位的证书过期,却刚好发生在假期,该单位原供应商联系不上,找到沃通CA咨询如何处理。后来沃通CA的值班工作人员通过先签发一张 DV 证书(最快只需要几分钟即可签发)将原过期的 OV 证书替换,然后在假期后的第一个工作日以最快的响应给客户新签发了一张OV证书。
这中间其实涉及到一个SSL证书有效期的监测管理。因为最近几年的SSL证书市场开始火热,很多公司开始引入这个产品,但自身的服务却未跟上,导致对客户的SSL证书有效期管理混乱。
在沃通CA,我们对每一张证书都有严格的有效期监控,除了系统的邮件提醒之外,还有对应的人工提醒和追踪。一张SSL证书到期之前,会收到我们 3-5 次的提醒,直到客户成功续期或者明确表示相关证书不再需要续期。
2、一些CA本身的服务故障。这样的事情也时有发生,感兴趣的网友可能在网上搜寻。
为了防止硬件故障,很多公司通常额外配置冗余的硬件设备,组成双“机”热备集群系统。同样,也可以申请额外的证书组成双“证”热备系统,只要为相同域名申请不同品牌、不同到期时间的证书即可,一旦发现证书过期,随时将另一个备用证书部署上去即可。所以,为了确保万无一失,很多公司开始给同一个域名申请两个不同品牌和不同有效期的SSL证书。其实,相对SSL证书过期或者故障导致的损失,购买SSL证书的费用几乎可以忽略不计。
SSL证书通常分成三种:
绿色地址栏选超安:金融证券、银行、第三方支付、网上商城等,重点强调网站安全和品牌可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输,使用显示绿色地址栏的超安EV SSL证书,安全可信一目了然。
验证企业选超真:电子商务网站、企业网站,涉及注册、登录、会员中心等页面,一定要使用超真OV SSL证书,支持显示中文单位名称和中文域名,利于品牌推广,更容易赢得客户信赖。
验证域名选超快:需求急迫、无网站身份认证需求的个人网站,可采用超快DV SSL证书,只用于网站传输加密,10分快速签发。
目前主要的证书颁发机构包括:
DigiCert:DigiCert(原Symantec证书)是全球公认最可靠证书颁发机构,90%的世界500强在使用Symantec SSL证书,工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。
GlobalSign:是一家声誉卓著、备受信赖的 CA 中心和 SSL 数字证书提供商,致力于网络安全认证及数字证书服务。
WoTrus:沃通国密证书是遵循国家标准GM/T 0024-2014技术规范的服务器SSL证书,支持SM2/SM3/SM4国产密码算法和国密安全协议,使用国密算法实现SSL加密连接及服务器身份认证,通过自主可控的密码技术,保护数据传输安全和服务器身份可信。
Sectigo证书:原Comodo SSL证书,高性价比,致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务,因为价格真的是便宜到位了。
如果万一发生当前的证书故障,那么立即切换到“备胎”SSL证书之后,发现证书并没有更新,则再检查一下有没有部署CDN、云WAF、抗DDOS这样的服务,再看看有没有在SLB(负载均衡)、OSS对象存储服务上部署证书,在这些位置都要更新证书。
最新资讯
Let’s encrypt吊销300万张证书,免费SSL证书真的免费吗?
标签推荐:ssl证书过期 | https配置 | java电子签名| 数字签名技术| 电子签名软件| 电子签名app| 电子签名软件| ca认证电子签名| 个人代码签名| 微软代码签名| 泛域名证书| java代码签名| 代码签名证书| https证书配置| PKI技术知识| SQL注入| openssl漏洞| 识别钓鱼网站