网站必须部署SSL证书,这个已经不是可选项了,而是必选项,浏览器会显示没有部署SSL证书网站为“不安全”,这是因为没有采用https加密,所有机密信息从浏览器或移动App到服务器端的数据交换都是明文传输的,是非常容易被非法窃取和非法篡改的。
而对于云服务提供商来讲,不仅大量对外提供服务的云服务器都需要SSL证书,同时云服务提供商的用户网站和系统也需要SSL证书。这就有了大量的SSL证书需求,如何保障SSL证书供应自给自如,如何降低SSL证书的采购成本,如何充分利用SSL证书来保障自身系统和云服务系统的安全,这些都是云服务提供商必须马上采取行动事情。
我们还是先看看下面这4张SSL证书的截图:
从第1张截图可以看出,微软云自用SSL证书是从DigiCert根证书定制的中级根证书Microsoft Azure TLS Issuing CA签发,Issuing CA就是签发根证书,是用于签发用户SSL证书的中级根证书。第2张截图是苹果公司官网自用SSL证书,从DigiCert根证书定制的中级根证书Apple Public EV Server RSA CA签发。第3张截图是亚马逊云服务网站自用SSL证书,由自己的根证书签发,也就是说亚马逊成立了自己的CA公司Amazon Trust Services。第4张截图是谷歌官网自用SSL证书,由自己的根证书签发,其根证书由GlobalSign根证书交叉签名。
我们再看看下面的3张SSL证书截图:
第1张截图是百度云签发给用户的SSL证书,这是从Sectigo根证书定制的中级根证书Baidu, Inc. OV CA签发的用户证书。第2张截图是阿里云签发给用户的SSL证书,这是从GlobalSign根证书定制的中级根证书Alibaba Cloud GCC R3 TLS OV CA签发的用户证书。前两家既是互联网巨头,也是领先的云服务提供商,其中百度中级根证书是2020年4月定制的,已经以BaiduTrust品牌为百度云用户签发SSL证书,而阿里云中级根证书则是今年6月份定制的,也已经为用户签发SSL证书。第3张截图是联通CA签发给自己官网的SSL证书,这是从GlobalSign根证书定制的中级根证书CUISEC GCC R3 TLS OV CA签发的用户证书。这是中国联通的子公司联通CA进军SSL证书市场的行动,去年4月份定制的3个SSL中级根证书。
看了国内外这么多定制中级根证书的案例,笔者总结一下有以下三点是值得我国云服务提供商和电信运营商学习的。
第一,定制中级根可以为用户提供自己品牌的SSL证书,不仅能带来新的业务收入,更重要的是为其他云服务产品增强了竞争力,大大方便了用户使用和选购相应的云服务产品。因为用户需要一站式解决方案,用户选购您的云主机,还要去向其他CA申请SSL证书,再在您的云主机上自己安装和管理证书,这不仅是对用户的漠不关心,而且是白白失去了一个增加业务收入的好机会,用户一定会选择能为其提供全自动配置SSL证书的云主机提供商,谁都想省事,对吧?!当然,有些云服务提供商已经对接了第三方CA提供的SSL证书,但由于是第三方产品,一定不能很好地对接自己的云服务产品,仍然没有彻底解决用户的痛点!
第二,对于自己就有大量SSL证书部署需求的云服务提供商,定制自己专用的SSL中级根证书的好处有三:
第三,必须设置云服务提供商的官网域名的CAA记录。 CAA记录是DNS系统新增加的一种资源记录,一种互联网安全策略机制,允许域名持有者指定可以为其域名签发SSL证书的证书颁发机构(CA)。CAA 资源记录允许域名持有者实施额外的安全控制,以降低意外证书错误颁发的风险。据Qualys SSL实验室对Alexa流量排名前15万个网站的监测统计数据,截止到11月14日,只有9.3%的网站设置了CAA记录。以上7家互联网公司的官网域名只有谷歌设置了CAA,设置的参数表明谷歌只允许自己的CA为google.com域名签发SSL证书。
这一点从系统安全防范策略来看,同第二点的第(2)条有点类似,从不同的角度来保证SSL证书和TLS加密通信的安全。
总之,为了提升云服务提供商的自身系统安全和提升用户服务能力,赶紧行动起来吧,笔者愿意奉献18年的国际CA运营经验和国际CA资源帮助大家快速拥有属于自己品牌的SSL中级根证书,并指导助力成功启动和开拓广阔的SSL证书市场。