单证书对SSL/TLS站点应用的影响
-
- CA服务故障影响最终客户
-
第三方CA出现运营或安全事故,将导致认证服务不可用,直接影响企业服务的最终用户。
-
- CA服务故障影响全线业务
-
第三方CA故障后,无论是PC、移动,还是API接口,都将受到冲击,导致服务不可用。
-
- 7*24H不间断服务是刚需
-
为保障业务安全连续性,SSL/TLS服务供应商必须确保提供7*24不间断的高可用性服务。
部署双证书的作用
-
杜绝网络劫持
-
高可用保障性
-
杜绝钓鱼网站
-
杜绝网络攻击
-
杜绝中间人攻击
高可用性双证书解决方案
-
部署要求
-
对SSL/TLS证书的兼容性有着非常严苛的要求,部分通过API接口对接的服务型产品对CA服务商的产品有着更高的兼容性要求。
-
主备证书类型
-
主证书使用大牌CA厂商的证书产品,兼容性强;备份证书使用通配符或多域名通配符证书。
-
双证书同时在线
-
主备证书同时在线,有效规避超大型站点在客户端出现的SSL/TLS证书兼容性故障,确保API接入用户不会受到证书变更造成的兼容性适配影响。
-
特别说明
-
主备证书同时在线需要前端代理服务器通过http代理、UserAgent识别、Proxy的HTTPS重定向实现。
要实现根据用户UA自动重定向到策略指定的SSL/TLS证书服务站点上;
要求后端必须有多台服务器负责处理https请求,并在这些站点中分别部署主备两张证书;
站点必须关闭HSTS,以避免客户端浏览器直接通过HTTPS方式访问服务器;
用户必须是以默认的http服务访问服务器,然后由服务端的Proxy代理进行策略负载。
双证书策略
-
主证书:已有证书产品
备份证书:Digicert-
品牌优势:多达99个许可的SAN支持,2048位根证书,128-256位加密强度, 99%+的浏览器兼容,最高175万美金的赔付保证 ,诺顿安全认证签章,证书签发之日起30天内无条件退款、免费替换,证书有效期内无限次免费重签。
1-10个工作日
-
主证书:已有证书产品
备份证书:Entrust-
品牌优势:支持付费扩展,最多可扩展至250个常规SANs或通配符SANs,提供证书有效期内重签发,证书安装服务器无数量限制,支持RSA + ECC 2048 位 / 3072 位 / 4096 位,提供网站安全徽章,可实时进行状态查询,桌面机及移动设备支持率高达99.9%以上,30天之内免费退款,提供免费电话、邮件、即时聊天等技术支持,支持SHA-2 签名。
4-7个工作日
-
主证书:已有证书产品
备用证书:GlobalSign-
品牌优势:128-256位加密强度,2048位秘钥,域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,7天无条件退款,风险承保计划,安全网站签章。
1-7个工作日
-
主证书:已有证书产品
备份证书:Digicert-
品牌优势:256位加密,2048位秘钥域名验证揭露域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,7天无条件退款,最高100万美金的风险承保计划,安全网站签章。
5-15个工作日
