双“证”热备,这个可以有-阿里云开发者社区

开发者社区> 阿里云MVP> 正文

双“证”热备,这个可以有

简介: 双机都备了,双“证”也是可以有的。

囧要三傻发誓保守身世秘密,三傻事后将囧的身世透露给了小恶魔。
——《权利的游戏》剧情

今年年初的时候,某国际知名IT公司出现了一次几个小时的停服事故,事故的原因竟然是忘记对SSL证书进行续签,续签证书通常需要进行人工审核,即便是像微软这样的大企业也要花上一段时间。

SSL证书(SSL Certificates)为网站和移动应用(APP)提供HTTPS保护,对流量加密,防止数据被窃取。随着对网络安全的重视程度不断提高,SSL证书已经成为所有APP和网站的标配访问方式。

SSL证书通常分成三种:

  • OV、最早出现的一种证书,需要进行人工审核后方可颁发,OV证书的应用最为广泛。
  • EV、提供更高的安全等级,需要进行严格的审核后方可颁发,EV证书一般用于金融等需要高安全等级的应用场景。
  • DV、为加快证书的颁发速度,通过DNS信息验证即可颁发,DV证书中不包含企业实名信息,钓鱼网站利用这一点常常注册近似的域名并获得DV证书以骗取信任。

所有证书都有时限,一般最长为两年,过期前都要重新申请,OV和EV由于需要人工审核,从申请到下发证书一般要数个工作日,EV型证书的审批时间将更长,注意这里说的是“工作日”,假如证书过期正好碰到长假……相关负责人的这个假期估计就别想好好过了。

为了防止硬件故障,我们通常额外配置冗余的硬件设备,组成双“机”热备集群系统。同样,我们也可以申请额外的证书组成双“证”热备系统,只要岔开时间向不同的证书颁发机构申请相同域名的证书即可,一旦发现证书过期,随时将另一个备用证书部署上去即可。

对于绝大多数的组织机构来说,对比因SSL证书过期导致服务停顿造成的损失,购买额外的SSL证书投入的成本小到可以忽略不计,双机都备了,双“证”也是可以有的。

目前主要的证书颁发机构包括:

  • GeoTrust、Geotrust是全球第二大数字证书颁发机构Digicert旗下品牌。
  • Digicert、Digicert(原Symantec证书)是 SSL/TLS 证书的领先提供商,为全球一百多万台网络服务器提供安全防护。
  • GlobalSign、GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的 CA 和 SSL 数字证书提供商。
  • CFCA、中国金融认证中心(CFCA)证书,由中国数字证书认证机构自主研发,纯国产证书。

证书颁发下来也别高兴太早,这里面还有“坑”,假如证书部署到服务器后发现并没有更新,可以再检查一下有没有部署CDN、云WAF、抗DDOS这样的服务,再看看有没有在SLB(负载均衡)、OSS对象存储服务上部署证书,在这些位置都要更新证书。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

阿里云最有价值专家,是专注于帮助他人充分了解和使用阿里云技术的意见领袖。

官方博客
官网链接
精彩专题