你是怎么解決ssl證書解高可用性的?
2017
隨著一些國際主流CA機構免費型DV SSL證書產品的出現,SSL/TLS證書的應用越來越廣泛。SSL證書與域名一樣,很快會成為每一個互聯網站點不可或缺的基礎服務要素。SSL/TLS證書的應用逐漸普及,越來越多的站點正在加速啟用全站https服務。而在瀏覽器方面,Chrome及Firefox在所有新發布的瀏覽器版本中支持HSTS。已經有相當一部分站點啟用了HSTS服務,徹底將http服務從支持的選項列表中移除。
一、如何保障SSL/TLS證書的安全及可靠?
全面的推廣和應用SSL/TLS,會給站點安全性帶來質的提升,徹底杜絕中間人攻擊、網絡劫持等攻擊行為。但于此同時,考慮全站https之后的高可用保障時,SSL/TLS證書的安全性問題就逐步凸顯出來。
如何確保https服務能夠7*24不間斷服務,不僅是企業內部IT運營團隊需要考慮的問題,同時也對第三方CA服務商提出了更高的要求。
一旦第三方CA服務商出現運營或安全事故,將導致CA服務商的認證服務不可用。這將直接影響到使用企業IT服務的最終用戶。無論是PC客戶端瀏、移動終端,還是API接口程序,都將有可能因此受到沖擊,導致服務不可用。
因此在進行站點高保障安全運營維護工作的同時,要求SSL/TLS服務供應商也必須確保提供7*24不間斷的高可用性服務,才能保障服務的可靠性。
二、SSL/TLS證書服務需注意這三點:
比起單純的采用一張SSL/TLS證書,要確保高可用性保障的服務站點不受一家第三方CA認證機構的安全或運營事故牽連,同時使用兩家不同的CA機構提供的高可用性SSL/TLS證書服務就顯得尤為必要了。
無論是選擇一張SSL/TLS證書服務,還是采用雙證書方案同時使用兩張SSL/TLS證書,都需要首先考察CA服務機構在服務保障上的工作是否有做足功課。
首先,CA機構在體量上,當然是越大越好。選擇全球排名靠前的幾家大型老牌CA機構的產品,能夠確保CA機構的產品有更深厚的技術積累和安全保障。不會因為黑客組織或個人的攻擊行為、系統安全系統漏洞、認證不規范等各種原因導致服務中斷或被其他機構列入信任黑名單。
其次,CA服務商在此之前是否發生過大的安全或運營事故,是否遭受過嚴厲懲罰措施也是需要預先考察的。在事故發生后,CA服務商能否協調各方快速及時處理,并保障最小限度的影響客戶的這種能力,也會給客戶的證書應用保障加分。
最后,CA服務商在國內是否有服務加速。
證書簽發后,在證書的使用過程中,通常還需要客戶端請求CA系統獲取證書有效性驗證信息。證書的有效性驗證,主要采用兩種方式:OCSP及CRL。
OCSP的驗證數據包體積較小,但對應答的及時性有要求。服務器延時越小,客戶端驗證速度越快。
CRL的驗證數據包體積較大,但支持CRL支持緩存。可通過CA服務商的CDN加速服務網絡分發。因此要求CA服務商在國內使用CDN加速服務也是很有必要的。
以下方案,主證書采用Digicert(原Symantec)品牌,備份證書采用Entrust或GlobalSign品牌。
三、如何部署實施高可用性雙證書?
1.單證書在線
單證書在線方案實施起來非常簡單,也很好理解其運行模式。主證書部署在服務器上,備份證書在主證書正常運行期間并不需要安裝部署。一旦發生CA服務商安全或運營事故的情況,可通過手動更新配置啟用備份證書并下線主證書,或通過自動化部署腳本自動切換到備份證書服務上。
主證書可按照應用需求,購買單域名、增強驗證型帶綠色地址欄的EV型、多域名或通配符等類型的證書。主證書的注冊申請、維護和安裝仍然使用原有的模式,不改變部署安裝習慣。
備份證書推薦采用多域名,或通配符證書。只需要確保備份證書能夠快速覆蓋主證書的服務范圍,通常不需要頻繁的變更或重新注冊申請。并且在需要應急啟用時,能夠快速變更替換主證書對應的服務。
2.源站服務器使用主證書,CDN、高防、WAF等服務使用備份證書
使用CDN、高防或WAF服務的用戶,可在源站服務器上安裝使用主證書,在CDN、高防、WAF等服務中使用備證書。
通常這類服務還可能委托給第三方CDN服務商來部署實施,所以這種模式下使用雙證書方案時,選擇兩個不同的CA服務商提供的產品不僅能夠規避CA運營或安全封信問題,同時源站與CDN、高防、WAF服務上配置的證書使用的證書密鑰對也是不同的。任何一個證書出現的運營安全故障(如秘鑰丟失、秘鑰泄密)都可以快速定位責任主體。第三方CDN服務商的秘鑰泄露也不會影響到源站的數據傳輸安全。小伙伴們要想獲得更多ssl證書解碼的內容,請關注創新互聯!
隨著一些國際主流CA機構免費型DV SSL證書產品的出現,SSL/TLS證書的應用越來越廣泛。SSL證書與域名一樣,很快會成為每一個互聯網站點不可或缺的基礎服務要素。SSL/TLS證書的應用逐漸普及,越來越多的站點正在加速啟用全站https服務。而在瀏覽器方面,Chrome及Firefox在所有新發布的瀏覽器版本中支持HSTS。已經有相當一部分站點啟用了HSTS服務,徹底將http服務從支持的選項列表中移除。
一、如何保障SSL/TLS證書的安全及可靠?
全面的推廣和應用SSL/TLS,會給站點安全性帶來質的提升,徹底杜絕中間人攻擊、網絡劫持等攻擊行為。但于此同時,考慮全站https之后的高可用保障時,SSL/TLS證書的安全性問題就逐步凸顯出來。
如何確保https服務能夠7*24不間斷服務,不僅是企業內部IT運營團隊需要考慮的問題,同時也對第三方CA服務商提出了更高的要求。
一旦第三方CA服務商出現運營或安全事故,將導致CA服務商的認證服務不可用。這將直接影響到使用企業IT服務的最終用戶。無論是PC客戶端瀏、移動終端,還是API接口程序,都將有可能因此受到沖擊,導致服務不可用。
因此在進行站點高保障安全運營維護工作的同時,要求SSL/TLS服務供應商也必須確保提供7*24不間斷的高可用性服務,才能保障服務的可靠性。
二、SSL/TLS證書服務需注意這三點:
比起單純的采用一張SSL/TLS證書,要確保高可用性保障的服務站點不受一家第三方CA認證機構的安全或運營事故牽連,同時使用兩家不同的CA機構提供的高可用性SSL/TLS證書服務就顯得尤為必要了。
無論是選擇一張SSL/TLS證書服務,還是采用雙證書方案同時使用兩張SSL/TLS證書,都需要首先考察CA服務機構在服務保障上的工作是否有做足功課。
首先,CA機構在體量上,當然是越大越好。選擇全球排名靠前的幾家大型老牌CA機構的產品,能夠確保CA機構的產品有更深厚的技術積累和安全保障。不會因為黑客組織或個人的攻擊行為、系統安全系統漏洞、認證不規范等各種原因導致服務中斷或被其他機構列入信任黑名單。
其次,CA服務商在此之前是否發生過大的安全或運營事故,是否遭受過嚴厲懲罰措施也是需要預先考察的。在事故發生后,CA服務商能否協調各方快速及時處理,并保障最小限度的影響客戶的這種能力,也會給客戶的證書應用保障加分。
最后,CA服務商在國內是否有服務加速。
證書簽發后,在證書的使用過程中,通常還需要客戶端請求CA系統獲取證書有效性驗證信息。證書的有效性驗證,主要采用兩種方式:OCSP及CRL。
OCSP的驗證數據包體積較小,但對應答的及時性有要求。服務器延時越小,客戶端驗證速度越快。
CRL的驗證數據包體積較大,但支持CRL支持緩存。可通過CA服務商的CDN加速服務網絡分發。因此要求CA服務商在國內使用CDN加速服務也是很有必要的。
以下方案,主證書采用Digicert(原Symantec)品牌,備份證書采用Entrust或GlobalSign品牌。
三、如何部署實施高可用性雙證書?
1.單證書在線
單證書在線方案實施起來非常簡單,也很好理解其運行模式。主證書部署在服務器上,備份證書在主證書正常運行期間并不需要安裝部署。一旦發生CA服務商安全或運營事故的情況,可通過手動更新配置啟用備份證書并下線主證書,或通過自動化部署腳本自動切換到備份證書服務上。
主證書可按照應用需求,購買單域名、增強驗證型帶綠色地址欄的EV型、多域名或通配符等類型的證書。主證書的注冊申請、維護和安裝仍然使用原有的模式,不改變部署安裝習慣。
備份證書推薦采用多域名,或通配符證書。只需要確保備份證書能夠快速覆蓋主證書的服務范圍,通常不需要頻繁的變更或重新注冊申請。并且在需要應急啟用時,能夠快速變更替換主證書對應的服務。
2.源站服務器使用主證書,CDN、高防、WAF等服務使用備份證書
使用CDN、高防或WAF服務的用戶,可在源站服務器上安裝使用主證書,在CDN、高防、WAF等服務中使用備證書。
通常這類服務還可能委托給第三方CDN服務商來部署實施,所以這種模式下使用雙證書方案時,選擇兩個不同的CA服務商提供的產品不僅能夠規避CA運營或安全封信問題,同時源站與CDN、高防、WAF服務上配置的證書使用的證書密鑰對也是不同的。任何一個證書出現的運營安全故障(如秘鑰丟失、秘鑰泄密)都可以快速定位責任主體。第三方CDN服務商的秘鑰泄露也不會影響到源站的數據傳輸安全。小伙伴們要想獲得更多ssl證書解碼的內容,請關注創新互聯!
網站欄目:你是怎么解決ssl證書解高可用性的?
本文鏈接:http://vcdvsql.cn/article26/soicjg.html
成都網站建設公司_創新互聯,為您提供網頁設計公司、全網營銷推廣、微信公眾號、企業網站制作、網站內鏈、服務器托管
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
- 什么是云服務器,云服務器主要用于哪些方面? 2022-11-14
- 云服務器是它的優勢有哪些?很多想租云服務器的人想知道的問題! 2021-02-23
- 網站建設小技巧-怎么選擇購買合適的云服務器? 2021-01-28
- 使用香港云服務器建站有什么優勢? 2021-02-01
- 云服務器和普通服務器的對比 哪個更好 2021-02-11
- 云服務器常見的用途主要在哪些方面呢? 2022-10-08
- 如何選擇適合自己的云服務器 2021-02-24
- 為什么要使用云服務器 2021-02-07
- 怎么租用云服務器 2021-03-06
- 香港云服務器帶寬跑滿了怎么解決? 2022-10-06
- 美國云服務器受到歡迎的理由有哪些? 2022-10-06
- 云服務器好在哪?你知道嗎 2021-03-06