你是怎么解决ssl证书解高可用性的?
发布时间:2023-11-02 点击:124
2017年1月份,google将chrome 56中所有的 http站点标记为不安全,并对所有使用http方式的登录交互页发出醒目的“不安全”提示。apple自2015年wwdc大会开始,就在计划逐步推进实施ats(app与后台服务器通讯强制使用https通讯)的实施,并在2017年wwdc大会上发布明确的时间节点,使https服务成为所有ios及mac上app的标配。下面就由小编和大家讲一讲如何解决ssl证书解l和tls证书服务的高可用性。
随着一些国际主流ca机构免费型dv ssl证书产品的出现,ssl/tls证书的应用越来越广泛。ssl证书与域名一样,很快会成为每一个互联网站点不可或缺的基础服务要素。ssl/tls证书的应用逐渐普及,越来越多的站点正在加速启用全站https服务。而在浏览器方面,chrome及firefox在所有新发布的浏览器版本中支持hsts。已经有相当一部分站点启用了hsts服务,彻底将http服务从支持的选项列表中移除。
一、如何保障ssl/tls证书的安全及可靠?
全面的推广和应用ssl/tls,会给站点安全性带来质的提升,彻底杜绝中间人攻击、网络劫持等攻击行为。但于此同时,考虑全站https之后的高可用保障时,ssl/tls证书的安全性问题就逐步凸显出来。
如何确保https服务能够7*24不间断服务,不仅是企业内部it运营团队需要考虑的问题,同时也对第三方ca服务商提出了更高的要求。
一旦第三方ca服务商出现运营或安全事故,将导致ca服务商的认证服务不可用。这将直接影响到使用企业it服务的最终用户。无论是pc客户端浏、移动终端,还是api接口程序,都将有可能因此受到冲击,导致服务不可用。
因此在进行站点高保障安全运营维护工作的同时,要求ssl/tls服务供应商也必须确保提供7*24不间断的高可用性服务,才能保障服务的可靠性。
二、ssl/tls证书服务需注意这三点:
比起单纯的采用一张ssl/tls证书,要确保高可用性保障的服务站点不受一家第三方ca认证机构的安全或运营事故牵连,同时使用两家不同的ca机构提供的高可用性ssl/tls证书服务就显得尤为必要了。
无论是选择一张ssl/tls证书服务,还是采用双证书方案同时使用两张ssl/tls证书,都需要首先考察ca服务机构在服务保障上的工作是否有做足功课。
首先,ca机构在体量上,当然是越大越好。选择全球排名靠前的几家大型老牌ca机构的产品,能够确保ca机构的产品有更深厚的技术积累和安全保障。不会因为黑客组织或个人的攻击行为、系统安全系统漏洞、认证不规范等各种原因导致服务中断或被其他机构列入信任黑名单。
其次,ca服务商在此之前是否发生过大的安全或运营事故,是否遭受过严厉惩罚措施也是需要预先考察的。在事故发生后,ca服务商能否协调各方快速及时处理,并保障最小限度的影响客户的这种能力,也会给客户的证书应用保障加分。
最后,ca服务商在国内是否有服务加速。
证书签发后,在证书的使用过程中,通常还需要客户端请求ca系统获取证书有效性验证信息。证书的有效性验证,主要采用两种方式:ocsp及crl。
ocsp的验证数据包体积较小,但对应答的及时性有要求。服务器延时越小,客户端验证速度越快。
crl的验证数据包体积较大,但支持crl支持缓存。可通过ca服务商的cdn加速服务网络分发。因此要求ca服务商在国内使用cdn加速服务也是很有必要的。
以下方案,主证书采用digicert(原symantec)品牌,备份证书采用entrust或globalsign品牌。
三、如何部署实施高可用性双证书?
1.单证书在线
单证书在线方案实施起来非常简单,也很好理解其运行模式。主证书部署在服务器上,备份证书在主证书正常运行期间并不需要安装部署。一旦发生ca服务商安全或运营事故的情况,可通过手动更新配置启用备份证书并下线主证书,或通过自动化部署脚本自动切换到备份证书服务上。
主证书可按照应用需求,购买单域名、增强验证型带绿色地址栏的ev型、多域名或通配符等类型的证书。主证书的注册申请、维护和安装仍然使用原有的模式,不改变部署安装习惯。
备份证书推荐采用多域名,或通配符证书。只需要确保备份证书能够快速覆盖主证书的服务范围,通常不需要频繁的变更或重新注册申请。并且在需要应急启用时,能够快速变更替换主证书对应的服务。
2.源站服务器使用主证书,cdn、高防、waf等服务使用备份证书
使用cdn、高防或waf服务的用户,可在源站服务器上安装使用主证书,在cdn、高防、waf等服务中使用备证书。
通常这类服务还可能委托给第三方cdn服务商来部署实施,所以这种模式下使用双证书方案时,选择两个不同的ca服务商提供的产品不仅能够规避ca运营或安全封信问题,同时源站与cdn、高防、waf服务上配置的证书使用的证书密钥对也是不同的。任何一个证书出现的运营安全故障(如秘钥丢失、秘钥泄密)都可以快速定位责任主体。第三方cdn服务商的秘钥泄露也不会影响到源站的数据传输安全。小伙伴们要想获得更多ssl证书解码的内容,请关注我们!
关于帝国cms插件怎么添加内容的小技巧
腾讯云自己买的服务器在哪里看到的
服务器怎么对接云存储硬盘
查云服务器配置命令
怎么免费申请网站?具有哪些特点?
注册国际域名需要什么条件?如何注册国际域名
单数字cn域名怎么样,有哪些优点?
云服务器租用平台能提供哪些服务
随着一些国际主流ca机构免费型dv ssl证书产品的出现,ssl/tls证书的应用越来越广泛。ssl证书与域名一样,很快会成为每一个互联网站点不可或缺的基础服务要素。ssl/tls证书的应用逐渐普及,越来越多的站点正在加速启用全站https服务。而在浏览器方面,chrome及firefox在所有新发布的浏览器版本中支持hsts。已经有相当一部分站点启用了hsts服务,彻底将http服务从支持的选项列表中移除。
一、如何保障ssl/tls证书的安全及可靠?
全面的推广和应用ssl/tls,会给站点安全性带来质的提升,彻底杜绝中间人攻击、网络劫持等攻击行为。但于此同时,考虑全站https之后的高可用保障时,ssl/tls证书的安全性问题就逐步凸显出来。
如何确保https服务能够7*24不间断服务,不仅是企业内部it运营团队需要考虑的问题,同时也对第三方ca服务商提出了更高的要求。
一旦第三方ca服务商出现运营或安全事故,将导致ca服务商的认证服务不可用。这将直接影响到使用企业it服务的最终用户。无论是pc客户端浏、移动终端,还是api接口程序,都将有可能因此受到冲击,导致服务不可用。
因此在进行站点高保障安全运营维护工作的同时,要求ssl/tls服务供应商也必须确保提供7*24不间断的高可用性服务,才能保障服务的可靠性。
二、ssl/tls证书服务需注意这三点:
比起单纯的采用一张ssl/tls证书,要确保高可用性保障的服务站点不受一家第三方ca认证机构的安全或运营事故牵连,同时使用两家不同的ca机构提供的高可用性ssl/tls证书服务就显得尤为必要了。
无论是选择一张ssl/tls证书服务,还是采用双证书方案同时使用两张ssl/tls证书,都需要首先考察ca服务机构在服务保障上的工作是否有做足功课。
首先,ca机构在体量上,当然是越大越好。选择全球排名靠前的几家大型老牌ca机构的产品,能够确保ca机构的产品有更深厚的技术积累和安全保障。不会因为黑客组织或个人的攻击行为、系统安全系统漏洞、认证不规范等各种原因导致服务中断或被其他机构列入信任黑名单。
其次,ca服务商在此之前是否发生过大的安全或运营事故,是否遭受过严厉惩罚措施也是需要预先考察的。在事故发生后,ca服务商能否协调各方快速及时处理,并保障最小限度的影响客户的这种能力,也会给客户的证书应用保障加分。
最后,ca服务商在国内是否有服务加速。
证书签发后,在证书的使用过程中,通常还需要客户端请求ca系统获取证书有效性验证信息。证书的有效性验证,主要采用两种方式:ocsp及crl。
ocsp的验证数据包体积较小,但对应答的及时性有要求。服务器延时越小,客户端验证速度越快。
crl的验证数据包体积较大,但支持crl支持缓存。可通过ca服务商的cdn加速服务网络分发。因此要求ca服务商在国内使用cdn加速服务也是很有必要的。
以下方案,主证书采用digicert(原symantec)品牌,备份证书采用entrust或globalsign品牌。
三、如何部署实施高可用性双证书?
1.单证书在线
单证书在线方案实施起来非常简单,也很好理解其运行模式。主证书部署在服务器上,备份证书在主证书正常运行期间并不需要安装部署。一旦发生ca服务商安全或运营事故的情况,可通过手动更新配置启用备份证书并下线主证书,或通过自动化部署脚本自动切换到备份证书服务上。
主证书可按照应用需求,购买单域名、增强验证型带绿色地址栏的ev型、多域名或通配符等类型的证书。主证书的注册申请、维护和安装仍然使用原有的模式,不改变部署安装习惯。
备份证书推荐采用多域名,或通配符证书。只需要确保备份证书能够快速覆盖主证书的服务范围,通常不需要频繁的变更或重新注册申请。并且在需要应急启用时,能够快速变更替换主证书对应的服务。
2.源站服务器使用主证书,cdn、高防、waf等服务使用备份证书
使用cdn、高防或waf服务的用户,可在源站服务器上安装使用主证书,在cdn、高防、waf等服务中使用备证书。
通常这类服务还可能委托给第三方cdn服务商来部署实施,所以这种模式下使用双证书方案时,选择两个不同的ca服务商提供的产品不仅能够规避ca运营或安全封信问题,同时源站与cdn、高防、waf服务上配置的证书使用的证书密钥对也是不同的。任何一个证书出现的运营安全故障(如秘钥丢失、秘钥泄密)都可以快速定位责任主体。第三方cdn服务商的秘钥泄露也不会影响到源站的数据传输安全。小伙伴们要想获得更多ssl证书解码的内容,请关注我们!
关于帝国cms插件怎么添加内容的小技巧
腾讯云自己买的服务器在哪里看到的
服务器怎么对接云存储硬盘
查云服务器配置命令
怎么免费申请网站?具有哪些特点?
注册国际域名需要什么条件?如何注册国际域名
单数字cn域名怎么样,有哪些优点?
云服务器租用平台能提供哪些服务
下一篇:打开开网站-虚拟主机/数据库问题