你是怎么解決ssl證書解高可用性的？

2017

創(chuàng)新互聯(lián)建站2013年開創(chuàng)至今，先為武鄉(xiāng)等服務建站，武鄉(xiāng)等地企業(yè)，進行企業(yè)商務咨詢服務。為武鄉(xiāng)企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。年1月份，Google將Chrome 56中所有的 http站點標記為不安全，并對所有使用http方式的登錄交互頁發(fā)出醒目的“不安全”提示。Apple自2015年WWDC大會開始，就在計劃逐步推進實施ATS(App與后臺服務器通訊強制使用https通訊)的實施，并在2017年WWDC大會上發(fā)布明確的時間節(jié)點，使https服務成為所有iOS及MAC上App的標配。下面就由創(chuàng)新互聯(lián)建站小編和大家講一講如何解決ssl證書解L和TLS證書服務的高可用性。

隨著一些國際主流CA機構(gòu)免費型DV SSL證書產(chǎn)品的出現(xiàn)，SSL/TLS證書的應用越來越廣泛。SSL證書與域名一樣，很快會成為每一個互聯(lián)網(wǎng)站點不可或缺的基礎(chǔ)服務要素。SSL/TLS證書的應用逐漸普及，越來越多的站點正在加速啟用全站https服務。而在瀏覽器方面，Chrome及Firefox在所有新發(fā)布的瀏覽器版本中支持HSTS。已經(jīng)有相當一部分站點啟用了HSTS服務，徹底將http服務從支持的選項列表中移除。

一、如何保障SSL/TLS證書的安全及可靠？

全面的推廣和應用SSL/TLS，會給站點安全性帶來質(zhì)的提升，徹底杜絕中間人攻擊、網(wǎng)絡劫持等攻擊行為。但于此同時，考慮全站https之后的高可用保障時，SSL/TLS證書的安全性問題就逐步凸顯出來。

如何確保https服務能夠7*24不間斷服務，不僅是企業(yè)內(nèi)部IT運營團隊需要考慮的問題，同時也對第三方CA服務商提出了更高的要求。

一旦第三方CA服務商出現(xiàn)運營或安全事故，將導致CA服務商的認證服務不可用。這將直接影響到使用企業(yè)IT服務的最終用戶。無論是PC客戶端瀏、移動終端，還是API接口程序，都將有可能因此受到?jīng)_擊，導致服務不可用。

因此在進行站點高保障安全運營維護工作的同時，要求SSL/TLS服務供應商也必須確保提供7*24不間斷的高可用性服務，才能保障服務的可靠性。

二、SSL/TLS證書服務需注意這三點：

比起單純的采用一張SSL/TLS證書，要確保高可用性保障的服務站點不受一家第三方CA認證機構(gòu)的安全或運營事故牽連，同時使用兩家不同的CA機構(gòu)提供的高可用性SSL/TLS證書服務就顯得尤為必要了。

無論是選擇一張SSL/TLS證書服務，還是采用雙證書方案同時使用兩張SSL/TLS證書，都需要首先考察CA服務機構(gòu)在服務保障上的工作是否有做足功課。

首先，CA機構(gòu)在體量上，當然是越大越好。選擇全球排名靠前的幾家大型老牌CA機構(gòu)的產(chǎn)品，能夠確保CA機構(gòu)的產(chǎn)品有更深厚的技術(shù)積累和安全保障。不會因為黑客組織或個人的攻擊行為、系統(tǒng)安全系統(tǒng)漏洞、認證不規(guī)范等各種原因?qū)е路罩袛嗷虮黄渌麢C構(gòu)列入信任黑名單。

其次，CA服務商在此之前是否發(fā)生過大的安全或運營事故，是否遭受過嚴厲懲罰措施也是需要預先考察的。在事故發(fā)生后，CA服務商能否協(xié)調(diào)各方快速及時處理，并保障最小限度的影響客戶的這種能力，也會給客戶的證書應用保障加分。

最后，CA服務商在國內(nèi)是否有服務加速。

證書簽發(fā)后，在證書的使用過程中，通常還需要客戶端請求CA系統(tǒng)獲取證書有效性驗證信息。證書的有效性驗證，主要采用兩種方式：OCSP及CRL。

OCSP的驗證數(shù)據(jù)包體積較小，但對應答的及時性有要求。服務器延時越小，客戶端驗證速度越快。

CRL的驗證數(shù)據(jù)包體積較大，但支持CRL支持緩存?？赏ㄟ^CA服務商的CDN加速服務網(wǎng)絡分發(fā)。因此要求CA服務商在國內(nèi)使用CDN加速服務也是很有必要的。

以下方案，主證書采用Digicert（原Symantec）品牌，備份證書采用Entrust或GlobalSign品牌。
三、如何部署實施高可用性雙證書？

1.單證書在線

單證書在線方案實施起來非常簡單，也很好理解其運行模式。主證書部署在服務器上，備份證書在主證書正常運行期間并不需要安裝部署。一旦發(fā)生CA服務商安全或運營事故的情況，可通過手動更新配置啟用備份證書并下線主證書，或通過自動化部署腳本自動切換到備份證書服務上。

主證書可按照應用需求，購買單域名、增強驗證型帶綠色地址欄的EV型、多域名或通配符等類型的證書。主證書的注冊申請、維護和安裝仍然使用原有的模式，不改變部署安裝習慣。

備份證書推薦采用多域名，或通配符證書。只需要確保備份證書能夠快速覆蓋主證書的服務范圍，通常不需要頻繁的變更或重新注冊申請。并且在需要應急啟用時，能夠快速變更替換主證書對應的服務。

2.源站服務器使用主證書，CDN、高防、WAF等服務使用備份證書

使用CDN、高防或WAF服務的用戶，可在源站服務器上安裝使用主證書，在CDN、高防、WAF等服務中使用備證書。

通常這類服務還可能委托給第三方CDN服務商來部署實施，所以這種模式下使用雙證書方案時，選擇兩個不同的CA服務商提供的產(chǎn)品不僅能夠規(guī)避CA運營或安全封信問題，同時源站與CDN、高防、WAF服務上配置的證書使用的證書密鑰對也是不同的。任何一個證書出現(xiàn)的運營安全故障（如秘鑰丟失、秘鑰泄密）都可以快速定位責任主體。第三方CDN服務商的秘鑰泄露也不會影響到源站的數(shù)據(jù)傳輸安全。小伙伴們要想獲得更多ssl證書解碼的內(nèi)容，請關(guān)注創(chuàng)新互聯(lián)！

網(wǎng)站欄目：你是怎么解決ssl證書解高可用性的？
本文鏈接：http://muchs.cn/article26/soicjg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設計公司、全網(wǎng)營銷推廣、微信公眾號、企業(yè)網(wǎng)站制作、網(wǎng)站內(nèi)鏈、服務器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)