部署SSL证书-网络安全发展大趋势
在互联网快速发展的今天,企业安装SSL证书已经成为发展的大趋势,2017年1月起,谷歌浏览器开始把采用HTTP协议的网站标记为”不安全”网站。Apple自2015年WWDC大会开始,就在计划逐步推进实施ATS(App与后台服务器通讯强制使用https通讯)的实施,使https服务成为所有iOS及MAC上App的标配。目前,除了谷歌,国内最大的主流搜索引擎服务商百度也格外推崇HTTPS,百度从自身做起,已启用全站HTTPS安全服务,将用户发出的所有百度搜索请求全部变成加密状态。
在今年6月1日实施的《网络安全法》中,信息泄露成为关注重点。第四十二条指出:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”这就是说,企业应对用户信息进行加密处理,积极采用数据脱敏等技术手段处理,保障信息中无法识别出个人。此次法规中指出进行处理过的个人信息若遭泄露不违反相关法律。
SSL/TLS站点应用面临的问题
全面的推广和应用SSL/TLS,会给站点安全性带来质的提升,彻底杜绝中间人攻击、网络劫持等攻击行为。但于此同时,考虑全站https之后的高可用保障时,SSL/TLS证书的安全性问题就逐步凸显出来。如何确保https服务能够7*24不间断服务,不仅是企业内部IT运营团队需要考虑的问题,同时也对第三方CA服务商提出了更高的要求。
天威诚信高可用性双证书解决方案
部署要求:对SSL/TLS证书的兼容性有着非常严苛的要求,部分通过API接口对接的服务型产品,更对CA服务商的产品有着更高的兼容性要求。
部署方式:自动
主证书类型:使用大牌CA厂商的证书产品,往往能够获得最优的兼容性支持。
备份证书类型:通配符或多域名通配符证书
方案优势:主备证书同时在线,有效规避超大型站点在客户端出现的SSL/TLS证书兼容性故障,确保API接入用户不会受到证书变更造成的兼容性适配不良影响。
特别说明:主备证书同时在线需要使用到前端代理服务器通过http代理、UserAgent的识别、Proxy的https重定向来实现这一目标。要实现根据用户UA,自动重定向到策略指定的SSL/TLS证书服务站点上,首先要求后端必须有多台服务器负责处理https请求,并且在这些站点中分别部署主备两张不同的证书。其次,站点必须关闭HSTS,以避免客户端浏览器直接通过https方式访问服务器。用户必须是以默认的http服务访问服务器,然后由服务端的Proxy代理进行策略负载。
关于天威诚信
天威诚信:可信网站安全认证服务提供商,专业从事数字证书等技术和产品服务,是国内首家跨区域、跨行业的电子认证服务机构。17 年的可信网站认证经验,是国内唯一一家官方授权企业,从事网站认证服务并获得国家级权威机构认证,在数字证书等技术领域沉淀了雄厚的实力,已发展成为“全国最具权威的电子认证机构”,在业界极具影响力。持续为工,农,中,建,交等金融行业领军者,阿里等行业巨头提供SSL证书服务与支持。
