雲計算

雙“證”熱備,這個可以有

囧要三傻發誓保守身世祕密,三傻事後將囧的身世透露給了小惡魔。
——《權利的遊戲》劇情

今年年初的時候,某國際知名IT公司出現了一次幾個小時的停服事故,事故的原因竟然是忘記對SSL證書進行續簽,續簽證書通常需要進行人工審核,即便是像微軟這樣的大企業也要花上一段時間。

SSL證書(SSL Certificates)為網站和移動應用(APP)提供HTTPS保護,對流量加密,防止數據被竊取。隨著對網絡安全的重視程度不斷提高,SSL證書已經成為所有APP和網站的標配訪問方式。

SSL證書通常分成三種:

  • OV、最早出現的一種證書,需要進行人工審核後方可頒發,OV證書的應用最為廣泛。
  • EV、提供更高的安全等級,需要進行嚴格的審核後方可頒發,EV證書一般用於金融等需要高安全等級的應用場景。
  • DV、為加快證書的頒發速度,通過DNS信息驗證即可頒發,DV證書中不包含企業實名信息,釣魚網站利用這一點常常註冊近似的域名並獲得DV證書以騙取信任。

所有證書都有時限,一般最長為兩年,過期前都要重新申請,OV和EV由於需要人工審核,從申請到下發證書一般要數個工作日,EV型證書的審批時間將更長,注意這裡說的是“工作日”,假如證書過期正好碰到長假……相關負責人的這個假期估計就別想好好過了。

為了防止硬件故障,我們通常額外配置冗餘的硬件設備,組成雙“機”熱備集群系統。同樣,我們也可以申請額外的證書組成雙“證”熱備系統,只要岔開時間向不同的證書頒發機構申請相同域名的證書即可,一旦發現證書過期,隨時將另一個備用證書部署上去即可。

對於絕大多數的組織機構來說,對比因SSL證書過期導致服務停頓造成的損失,購買額外的SSL證書投入的成本小到可以忽略不計,雙機都備了,雙“證”也是可以有的。

目前主要的證書頒發機構包括:

  • GeoTrust、Geotrust是全球第二大數字證書頒發機構Digicert旗下品牌。
  • Digicert、Digicert(原Symantec證書)是 SSL/TLS 證書的領先提供商,為全球一百多萬臺網絡服務器提供安全防護。
  • GlobalSign、GlobalSign是全球最早的數字證書認證機構之一,一直致力於網絡安全認證及數字證書服務,是一個備受信賴的 CA 和 SSL 數字證書提供商。
  • CFCA、中國金融認證中心(CFCA)證書,由中國數字證書認證機構自主研發,純國產證書。

證書頒發下來也別高興太早,這裡面還有“坑”,假如證書部署到服務器後發現並沒有更新,可以再檢查一下有沒有部署CDN、雲WAF、抗DDOS這樣的服務,再看看有沒有在SLB(負載均衡)、OSS對象存儲服務上部署證書,在這些位置都要更新證書。

Leave a Reply

Your email address will not be published. Required fields are marked *