4006-555-883

天威诚信中级CA证书配置应该如何选择?

发布时间:2017-06-28 09:33:00

  随着国内百度淘宝全站部署SSL证书后,SSL证书在网站中的使用率越来越高,对于SSL证书的安装小编发现,有很多网站管理者面对CA证书配置时犯了难,不知道应该配置一张中级CA还是两张中级CA,今天小编就为大家做细致分析。

  通常我们建议B/S架构用户配置一张中级CA,以获取最优的安全性保障。如果在内部网络中部署B/S架构服务器,需开放防火墙允许Windows XP用户联网更新根证书目录,Web Services、Java客户端等C/S架构用户,推荐配置两张中级CA。以适配客户端复杂的系统及运行环境差异,确保证书应用的兼容性。

  在2015年9月之前,有很多企业被要求需要配置两张中级CA,但之后Symantec为了促进低版本客户端操作系统及运行环境的安全升级,要求所有的新版客户端使用新的数字认证安全技术,Symantec现已全面启用新的根证书,禁用原含SHA1算法的交叉认证证书链,赛门铁克的这一举措将确保用户在使用TLS安全协议时,获得更高的安全性保障。如果继续配置两张中级CA证书,Chrome 41及以上版本浏览器中,存在小概率浏览器报证书“不安全”的错误。

  但如果您因兼容性需要,一定要配置两张中级CA,那么也是可以的,但一定要注意的是,交叉中级CA到期截止时间约为2021年,预计将于2018年开始逐渐全面弃用。如您因应用要求必须配置第二张中级CA,您需随着目前安全技术的革新和进步,适时计划算法升级及客户端运行环境的升级改造工作,以适配根证书升级服务的兼容性。

  配置一张中级CA能确保用户在使用TLS安全协议时,获得更高的安全性保障,配置两张中级CA是为了适配客户端复杂的系统及运行环境差异,确保证书应用的兼容性。因此您可根据各自应用场景,来选择配置一张中级CA或者配置两张中级CA。

  随着目前安全技术的革新和进步,建议您在考虑兼容性并兼顾安全性的同时,推进C/S架构下的兼容性升级,并最终完全使用一张中级CA的配置方案。

配置一张中级CA,即启动Symantec新根证书的兼容性列表:

系统及环境

 

VeriSign、GeoTrust、Thawte

2036年7月17日根证书

GeoTrust

2022年5月21日根证书

Windows XP/2003/Vista

开启“更新根目录证书”服务

客户机联网

访问应用其证书的服务,激活根证书更新(SSL、代码签名及邮件证书)

安装kb931125可支持新根证书

Java

1.6.19及以上版本

1.5.0及以上版本

Windows 7

支持

支持

Android

2.3+

2.3+(4.2.2不支持)

Windows Phone

7+

7+

.Net Framworks

3.5+

3.5+



  天威诚信是Symantec全球最大的网站认证服务提供商,可为国内用户提供最安全可信的SSL证书产品,服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。

最新发布
1
@所有网站运营者,SSL证书过期不要慌
2
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
3
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
4
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
5
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
6
网站信息安全成国际焦点,部署适配SSL证书时不我待
7
3分钟,我要知道SSL证书的全部信息!
8
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
9
敲黑板!SSL证书常见七大问题答疑来啦!
10
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
相关推荐
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
3分钟,我要知道SSL证书的全部信息!
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
@所有网站运营者,SSL证书过期不要慌
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
网站信息安全成国际焦点,部署适配SSL证书时不我待
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?