什么是双证书
同一服务器上同时部署两张不同品牌的SSL证书,主备证书同时在线,双重保障更可靠。
其中一个品牌的SSL证书出现运营或安全事故时,
另一张证书可保障网站认证服务的连续性。
部署双证书的作用
杜绝中间人攻击
杜绝网络劫持
杜绝网络攻击
杜绝钓鱼网站
高可用保障性
SSL/TLS站点应用面临的问题
- 一旦第三方CA服务商出现运营或安全事故,将导致CA服务商的认证服务不可用,将直接影响到使用企业IT服务的最终用户。
- 无论是PC客户端、移动终端,还是API接口程序,都将有可能因此受到冲击,导致服务不可用。
- 因此在进行站点高保障安全运营维护工作的同时,要求SSL/TLS服务供应商也必须确保提供7*24不间断的高可用性服务,才能保障服务的可靠性。
天威诚信高可用性双证书解决方案
对SSL/TLS证书的兼容性有着非常严苛的要求,部分通过API接口对接的服务型产品,更对CA服务商的产品有着更高的兼容性要求。
自动
使用大牌CA厂商的证书产品,往往能够获得较优的兼容性支持。
通配符或多域名通配符证书
主备证书同时在线,有效规避超大型站点在客户端出现的SSL/TLS证书兼容性故障,确保API接入用户不会受到证书变更造成的兼容性适配不良影响。
特别说明:
主备证书同时在线需要使用到前端代理服务器通过http代理、UserAgent的识别、Proxy的https重定向来实现这一目标。
要实现根据用户UA,自动重定向到策略指定的SSL/TLS证书服务站点上,
首先要求后端必须有多台服务器负责处理https请求,并且在这些站点中分别部署主备两张不同的证书。
其次,站点必须关闭HSTS,以避免客户端浏览器直接通过https方式访问服务器。用户必须是以默认的http服务访问服务器,然后由服务端的Proxy代理进行策略负载。
主备证书同时在线需要使用到前端代理服务器通过http代理、UserAgent的识别、Proxy的https重定向来实现这一目标。
要实现根据用户UA,自动重定向到策略指定的SSL/TLS证书服务站点上,
首先要求后端必须有多台服务器负责处理https请求,并且在这些站点中分别部署主备两张不同的证书。
其次,站点必须关闭HSTS,以避免客户端浏览器直接通过https方式访问服务器。用户必须是以默认的http服务访问服务器,然后由服务端的Proxy代理进行策略负载。
双证书策略
| 编号 | 主证书 | 备份证书 | 品牌优势 | 鉴证时长 |
|---|---|---|---|---|
| 1 | 已有证书产品 | Digicert | 多达99个许可的SAN支持,2048位根证书,128-256位加密强度, 99%+的浏览器兼容,最高175万美金的赔付保证 ,诺顿安全认证签章,证书签发之日起30天内无条件退款、免费替换,证书有效期内无限次免费重签。 | 1-10个工作日 |
| 2 | 已有证书产品 | Entrust | 支持付费扩展,最多可扩展至250个常规SANs或通配符SANs,提供证书有效期内重签发,证书安装服务器无数量限制,支持RSA + ECC 2048 位 / 3072 位 / 4096 位,提供网站安全徽章,可实时进行状态查询,桌面机及移动设备支持率高达99.9%以上,30天之内免费退款,提供免费电话、邮件、即时聊天等技术支持,支持SHA-2 签名。 | 4-7个工作日 |
| 3 | 已有证书产品 | GlobalSign | 128-256位加密强度,2048位秘钥,域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,7天无条件退款,风险承保计划,安全网站签章。 | 1-7个工作日 |
| 4 | 已有证书产品 | Digicert | 256位加密,2048位秘钥域名验证揭露域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,7天无条件退款,最高100万美金的风险承保计划,安全网站签章。 | 5-15个工作日 |
