囧要三傻發誓保守身世祕密,三傻事後將囧的身世透露給了小惡魔。
——《權利的遊戲》劇情
今年年初的時候,某國際知名IT公司出現了一次幾個小時的停服事故,事故的原因竟然是忘記對SSL證書進行續簽,續簽證書通常需要進行人工審核,即便是像微軟這樣的大企業也要花上一段時間。
SSL證書(SSL Certificates)為網站和移動應用(APP)提供HTTPS保護,對流量加密,防止數據被竊取。隨著對網絡安全的重視程度不斷提高,SSL證書已經成為所有APP和網站的標配訪問方式。
SSL證書通常分成三種:
- OV、最早出現的一種證書,需要進行人工審核後方可頒發,OV證書的應用最為廣泛。
- EV、提供更高的安全等級,需要進行嚴格的審核後方可頒發,EV證書一般用於金融等需要高安全等級的應用場景。
- DV、為加快證書的頒發速度,通過DNS信息驗證即可頒發,DV證書中不包含企業實名信息,釣魚網站利用這一點常常註冊近似的域名並獲得DV證書以騙取信任。
所有證書都有時限,一般最長為兩年,過期前都要重新申請,OV和EV由於需要人工審核,從申請到下發證書一般要數個工作日,EV型證書的審批時間將更長,注意這裡說的是“工作日”,假如證書過期正好碰到長假……相關負責人的這個假期估計就別想好好過了。
為了防止硬件故障,我們通常額外配置冗餘的硬件設備,組成雙“機”熱備集群系統。同樣,我們也可以申請額外的證書組成雙“證”熱備系統,只要岔開時間向不同的證書頒發機構申請相同域名的證書即可,一旦發現證書過期,隨時將另一個備用證書部署上去即可。
對於絕大多數的組織機構來說,對比因SSL證書過期導致服務停頓造成的損失,購買額外的SSL證書投入的成本小到可以忽略不計,雙機都備了,雙“證”也是可以有的。
目前主要的證書頒發機構包括:
- GeoTrust、Geotrust是全球第二大數字證書頒發機構Digicert旗下品牌。
- Digicert、Digicert(原Symantec證書)是 SSL/TLS 證書的領先提供商,為全球一百多萬臺網絡服務器提供安全防護。
- GlobalSign、GlobalSign是全球最早的數字證書認證機構之一,一直致力於網絡安全認證及數字證書服務,是一個備受信賴的 CA 和 SSL 數字證書提供商。
- CFCA、中國金融認證中心(CFCA)證書,由中國數字證書認證機構自主研發,純國產證書。
證書頒發下來也別高興太早,這裡面還有“坑”,假如證書部署到服務器後發現並沒有更新,可以再檢查一下有沒有部署CDN、雲WAF、抗DDOS這樣的服務,再看看有沒有在SLB(負載均衡)、OSS對象存儲服務上部署證書,在這些位置都要更新證書。