如何安全高效管理SSL证书？“双证”值得考虑

SSL证书是数字证书(数字证书包括：SSL证书、客户端证书、代码签名证书等)的一种，因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA(如：沃通CA)在验证服务器身份后颁发的一种数字证书。

SSL证书（https安全证书）为网站和移动应用（APP）提供HTTPS保护，对数据流量加密，防止数据被监听、截取甚至篡改，同时也是网站的一种数字“身份证”，访客可以通过SSL证书中的使用者身份信息字段对网站的主办者进行身份确认，防止进入钓鱼网站。随着各个平台，尤其是浏览器厂商的大力倡导和推进，以及企业本身对网络安全的重视程度不断提高，SSL证书已经成为APP和网站的标准配置。

但部署了SSL证书之后，也不一定就安全放心，主要是因为：

1、SSL证书一次性只能签发最多27个月，也就是说一张SSL证书的生命周期其实很短，但更新SSL证书其实需要一定的时间，而在很多单位，经常发生忘记更新SSL证书的事情，直接导致的结果可能就是系统瘫痪，服务受到影响。这种事情还发生在特斯拉身上，就在近期，特斯拉一张证书没有更新，导致很多特斯拉车主无法打开车门，一时间特斯拉的官微充满各种不满。SSL证书过期前都要重新申请和审核，OV 和 EV 由于需要人工审核，从申请到下发证书一般要数个工作日，EV 型证书的审批时间将更长，注意这里说的是“工作日”。

沃通CA曾经接到过几个案例，某单位的证书过期，却刚好发生在假期，该单位原供应商联系不上，找到沃通CA咨询如何处理。后来沃通CA的值班工作人员通过先签发一张 DV 证书（最快只需要几分钟即可签发）将原过期的 OV 证书替换，然后在假期后的第一个工作日以最快的响应给客户新签发了一张OV证书。

这中间其实涉及到一个SSL证书有效期的监测管理。因为最近几年的SSL证书市场开始火热，很多公司开始引入这个产品，但自身的服务却未跟上，导致对客户的SSL证书有效期管理混乱。

在沃通CA，我们对每一张证书都有严格的有效期监控，除了系统的邮件提醒之外，还有对应的人工提醒和追踪。一张SSL证书到期之前，会收到我们 3-5 次的提醒，直到客户成功续期或者明确表示相关证书不再需要续期。

2、一些CA本身的服务故障。这样的事情也时有发生，感兴趣的网友可能在网上搜寻。

为了防止硬件故障，很多公司通常额外配置冗余的硬件设备，组成双“机”热备集群系统。同样，也可以申请额外的证书组成双“证”热备系统，只要为相同域名申请不同品牌、不同到期时间的证书即可，一旦发现证书过期，随时将另一个备用证书部署上去即可。所以，为了确保万无一失，很多公司开始给同一个域名申请两个不同品牌和不同有效期的SSL证书。其实，相对SSL证书过期或者故障导致的损失，购买SSL证书的费用几乎可以忽略不计。

SSL证书通常分成三种：

绿色地址栏选超安：金融证券、银行、第三方支付、网上商城等，重点强调网站安全和品牌可信形象的网站，涉及交易支付、客户隐私信息和账号密码的传输，使用显示绿色地址栏的超安EV SSL证书，安全可信一目了然。

验证企业选超真：电子商务网站、企业网站，涉及注册、登录、会员中心等页面，一定要使用超真OV SSL证书，支持显示中文单位名称和中文域名，利于品牌推广，更容易赢得客户信赖。

验证域名选超快：需求急迫、无网站身份认证需求的个人网站，可采用超快DV SSL证书，只用于网站传输加密，10分快速签发。

目前主要的证书颁发机构包括：

DigiCert：DigiCert（原Symantec证书）是全球公认最可靠证书颁发机构，90%的世界500强在使用Symantec SSL证书，工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。

GlobalSign：是一家声誉卓著、备受信赖的 CA 中心和 SSL 数字证书提供商，致力于网络安全认证及数字证书服务。

WoTrus：沃通国密证书是遵循国家标准GM/T 0024-2014技术规范的服务器SSL证书，支持SM2/SM3/SM4国产密码算法和国密安全协议，使用国密算法实现SSL加密连接及服务器身份认证，通过自主可控的密码技术，保护数据传输安全和服务器身份可信。

Sectigo证书：原Comodo SSL证书，高性价比，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务，因为价格真的是便宜到位了。

如果万一发生当前的证书故障，那么立即切换到“备胎”SSL证书之后，发现证书并没有更新，则再检查一下有没有部署CDN、云WAF、抗DDOS这样的服务，再看看有没有在SLB（负载均衡）、OSS对象存储服务上部署证书，在这些位置都要更新证书。