什么是雙證書
同一服務器上同時部署兩張不同品牌的SSL證書,主備證書同時在線,雙重保障更可靠。
其中一個品牌的SSL證書出現運營或安全事故時,
另一張證書可保障網站認證服務的連續性。
部署雙證書的作用
杜絕中間人攻擊
杜絕網絡劫持
杜絕網絡攻擊
杜絕釣魚網站
高可用保障性
SSL/TLS站點應用面臨的問題
- 一旦第三方CA服務商出現運營或安全事故,將導致CA服務商的認證服務不可用,將直接影響到使用企業IT服務的最終用戶。
- 無論是PC客戶端、移動終端,還是API接口程序,都將有可能因此受到沖擊,導致服務不可用。
- 因此在進行站點高保障安全運營維護工作的同時,要求SSL/TLS服務供應商也必須確保提供7*24不間斷的高可用性服務,才能保障服務的可靠性。
天威誠信高可用性雙證書解決方案
對SSL/TLS證書的兼容性有著非常嚴苛的要求,部分通過API接口對接的服務型產品,更對CA服務商的產品有著更高的兼容性要求。
自動
使用大牌CA廠商的證書產品,往往能夠獲得較優的兼容性支持。
通配符或多域名通配符證書
主備證書同時在線,有效規避超大型站點在客戶端出現的SSL/TLS證書兼容性故障,確保API接入用戶不會受到證書變更造成的兼容性適配不良影響。
特別說明:
主備證書同時在線需要使用到前端代理服務器通過http代理、UserAgent的識別、Proxy的https重定向來實現這一目標。
要實現根據用戶UA,自動重定向到策略指定的SSL/TLS證書服務站點上,
首先要求后端必須有多臺服務器負責處理https請求,并且在這些站點中分別部署主備兩張不同的證書。
其次,站點必須關閉HSTS,以避免客戶端瀏覽器直接通過https方式訪問服務器。用戶必須是以默認的http服務訪問服務器,然后由服務端的Proxy代理進行策略負載。
主備證書同時在線需要使用到前端代理服務器通過http代理、UserAgent的識別、Proxy的https重定向來實現這一目標。
要實現根據用戶UA,自動重定向到策略指定的SSL/TLS證書服務站點上,
首先要求后端必須有多臺服務器負責處理https請求,并且在這些站點中分別部署主備兩張不同的證書。
其次,站點必須關閉HSTS,以避免客戶端瀏覽器直接通過https方式訪問服務器。用戶必須是以默認的http服務訪問服務器,然后由服務端的Proxy代理進行策略負載。
雙證書策略
編號 | 主證書 | 備份證書 | 品牌優勢 | 鑒證時長 |
---|---|---|---|---|
1 | 已有證書產品 | Digicert | 多達99個許可的SAN支持,2048位根證書,128-256位加密強度, 99%+的瀏覽器兼容,最高175萬美金的賠付保證 ,諾頓安全認證簽章,證書簽發之日起30天內無條件退款、免費替換,證書有效期內無限次免費重簽。 | 1-10個工作日 |
2 | 已有證書產品 | Entrust | 支持付費擴展,最多可擴展至250個常規SANs或通配符SANs,提供證書有效期內重簽發,證書安裝服務器無數量限制,支持RSA + ECC 2048 位 / 3072 位 / 4096 位,提供網站安全徽章,可實時進行狀態查詢,桌面機及移動設備支持率高達99.9%以上,30天之內免費退款,提供免費電話、郵件、即時聊天等技術支持,支持SHA-2 簽名。 | 4-7個工作日 |
3 | 已有證書產品 | GlobalSign | 128-256位加密強度,2048位秘鑰,域名驗證及企業名稱驗證揭露,免費客服支持及安裝檢查,兼容主流瀏覽器及各式移動設備,7天無條件退款,風險承保計劃,安全網站簽章。 | 1-7個工作日 |
4 | 已有證書產品 | Digicert | 256位加密,2048位秘鑰域名驗證揭露域名驗證及企業名稱驗證揭露,免費客服支持及安裝檢查,兼容主流瀏覽器及各式移動設備,7天無條件退款,最高100萬美金的風險承保計劃,安全網站簽章。 | 5-15個工作日 |