定制SSL中级根证书已成为互联网公司的必选项2021年12月16日

网站必须部署SSL证书,这个已经不是可选项了,而是必选项,浏览器会显示没有部署SSL证书网站为“不安全”,这是因为没有采用https加密,所有机密信息从浏览器或移动App到服务器端的数据交换是明文传输的,是非常容易被非法窃取和非法篡改的。

而对于互联网公司或云服务提供商来讲,不仅大量对外提供服务的云服务器都需要SSL证书,同时云服务提供商的用户网站和系统也需要SSL证书。这就有了大量的SSL证书需求,如何保障SSL证书供应自给自如,如何降低SSL证书的采购成本,如何充分利用SSL证书来保障自身系统和云服务系统的安全,这些都是互联网公司和云服务提供商必须马上采取行动事情。

我们还是先看看下面这4张SSL证书的截图:

从第1张截图可以看出,微软云自用SSL证书是从DigiCert根证书定制的中级根证书Microsoft Azure TLS Issuing CA签发,Issuing CA就是签发根证书,是用于签发用户SSL证书的中级根证书。第2张截图是苹果公司官网自用SSL证书,从DigiCert根证书定制的中级根证书Apple Public EV Server RSA CA签发。第3张截图是亚马逊云服务网站自用SSL证书,由自己的根证书签发,也就是说亚马逊成立了自己的CA公司Amazon Trust Services。第4张截图是谷歌官网自用SSL证书,由自己的根证书签发,其根证书由GlobalSign根证书交叉签名。

第1张截图是百度云签发给用户的SSL证书,这是从Sectigo根证书定制的中级根证书Baidu, Inc. OV CA签发的用户证书。第2张截图是阿里云签发给用户的SSL证书,这是从GlobalSign根证书定制的中级根证书Alibaba Cloud GCC R3 TLS OV CA签发的用户证书。前两家既是互联网巨头,也是领先的云服务提供商,其中百度中级根证书是2020年4月定制的,已经以BaiduTrust品牌为百度云用户签发SSL证书,而阿里云中级根证书则是今年6月份定制的,也已经为用户签发SSL证书。第3张截图是联通CA签发给自己官网的SSL证书,这是从GlobalSign根证书定制的中级根证书CUISEC GCC R3 TLS OV CA签发的用户证书。这是中国联通的子公司联通CA计划进军SSL证书市场的行动,今年4月份定制了3个SSL中级根证书,还没有对外签发SSL证书,估计还在内测中。

看了国内外这么多定制中级根证书的案例,笔者总结一下有以下三点是值得我国其他互联网公司、云服务提供商和电信运营商学习的。

第一

定制中级根可以为用户提供自己品牌的SSL证书,不仅能带来新的业务收入,更重要的是为其他云服务产品增强了竞争力,大大方便了用户使用和选购相应的云服务产品。因为用户需要一站式解决方案,用户选购您的云主机,还要去向其他CA申请SSL证书,再在您的云主机上自己安装和管理证书,这不仅是对用户的漠不关心,而且是白白失去了一个增加业务收入的好机会,用户一定会选择能为其提供全自动配置SSL证书的云主机提供商,谁都想省事,对吧?!当然,有些云服务提供商已经对接了第三方CA提供的SSL证书,但由于是第三方产品,一定不能很好地对接自己的云服务产品,仍然没有彻底解决用户的痛点!

第二

对于自己就有大量SSL证书部署需求的互联网公司、云服务提供商和电信运营商,定制自己专用的SSL中级根证书的好处有三:

  • 自主管理和签发业务系统所需的SSL证书,更能快速满足自己业务系统部署SSL证书的需要,因为SSL证书是所有系统上线的必须品,自己签发当然非常可控。
  • 这一点非常重要,为了确保重要的业务系统的安全,应该制定一个仅信任自己的中级根证书签发的SSL证书的零信任安全策略,这是防范重要业务系统遭遇SSL中间人攻击的有力有效手段,能简单高效地保护核心信息系统的基础通信安全。
  • 能降低SSL证书的总采购费用,这对于降低电信服务、云服务和互联网服务的运营成本也非常重要。
第三

必须设置互联网公司、云服务提供商的官网域名的CAA记录。 CAA记录是DNS系统新增加的一种资源记录,一种互联网安全策略机制,允许域名持有者指定可以为其域名签发SSL证书的证书颁发机构(CA)。CAA 资源记录允许域名持有者实施额外的安全控制,以降低意外证书错误颁发的风险。据Qualys SSL实验室对Alexa流量排名前15万个网站的监测统计数据,截止到11月14日,只有9.3%的网站设置了CAA记录。以上7家互联网公司的官网域名只有谷歌设置了CAA,设置的参数表明谷歌只允许自己的CA为google.com域名签发SSL证书。
这一点从系统安全防范策略来看,同第二点的第(2)条有点类似,从不同的角度来保证SSL证书和TLS加密通信的安全。

总之,为了提升互联网公司的自身系统安全和提升用户服务能力,赶紧行动起来吧,笔者愿意奉献17年的国际CA运营经验和国际CA资源帮助大家快速拥有属于自己品牌的中级根证书,并指导助力成功启动和开拓广阔的SSL证书市场。

点击 这里 下载此文 (PDF格式,有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)