囧要三傻发誓保守身世秘密,三傻事后将囧的身世透露给了小恶魔。
——《权利的游戏》剧情
今年年初的时候,某国际知名IT公司出现了一次几个小时的停服事故,事故的原因竟然是忘记对SSL证书进行续签,续签证书通常需要进行人工审核,即便是像微软这样的大企业也要花上一段时间。
SSL证书(SSL Certificates)为网站和移动应用(APP)提供HTTPS保护,对流量加密,防止数据被窃取。随着对网络安全的重视程度不断提高,SSL证书已经成为所有APP和网站的标配访问方式。
SSL证书通常分成三种:
- OV、最早出现的一种证书,需要进行人工审核后方可颁发,OV证书的应用最为广泛。
- EV、提供更高的安全等级,需要进行严格的审核后方可颁发,EV证书一般用于金融等需要高安全等级的应用场景。
- DV、为加快证书的颁发速度,通过DNS信息验证即可颁发,DV证书中不包含企业实名信息,钓鱼网站利用这一点常常注册近似的域名并获得DV证书以骗取信任。
所有证书都有时限,一般最长为两年,过期前都要重新申请,OV和EV由于需要人工审核,从申请到下发证书一般要数个工作日,EV型证书的审批时间将更长,注意这里说的是“工作日”,假如证书过期正好碰到长假……相关负责人的这个假期估计就别想好好过了。
为了防止硬件故障,我们通常额外配置冗余的硬件设备,组成双“机”热备集群系统。同样,我们也可以申请额外的证书组成双“证”热备系统,只要岔开时间向不同的证书颁发机构申请相同域名的证书即可,一旦发现证书过期,随时将另一个备用证书部署上去即可。
对于绝大多数的组织机构来说,对比因SSL证书过期导致服务停顿造成的损失,购买额外的SSL证书投入的成本小到可以忽略不计,双机都备了,双“证”也是可以有的。
目前主要的证书颁发机构包括:
- GeoTrust、Geotrust是全球第二大数字证书颁发机构Digicert旗下品牌。
- Digicert、Digicert(原Symantec证书)是 SSL/TLS 证书的领先提供商,为全球一百多万台网络服务器提供安全防护。
- GlobalSign、GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的 CA 和 SSL 数字证书提供商。
- CFCA、中国金融认证中心(CFCA)证书,由中国数字证书认证机构自主研发,纯国产证书。
证书颁发下来也别高兴太早,这里面还有“坑”,假如证书部署到服务器后发现并没有更新,可以再检查一下有没有部署CDN、云WAF、抗DDOS这样的服务,再看看有没有在SLB(负载均衡)、OSS对象存储服务上部署证书,在这些位置都要更新证书。
