在第三方提供的SSL證書(shū)出現(xiàn)問(wèn)題后，我們會(huì)不解為什么自己對(duì)這些供應(yīng)商如此信任。我們?cè)试S他們?yōu)槲覀兊木W(wǎng)站處理和生成受信任證書(shū)，但***即便是谷歌，微軟這樣的巨頭都不幸淪為受害者。

我們通常都被告知SSL證書(shū)只有在受信任機(jī)構(gòu)發(fā)布和簽署的情況下才是安全的，而且我們不應(yīng)該使用自簽署證書(shū)，除非是有限制的內(nèi)部使用或是用于測(cè)試。我們會(huì)對(duì)在產(chǎn)品環(huán)境中部署自簽署證書(shū)而瘋狂。

這是這個(gè)逐利行業(yè)所酷愛(ài)的事情嗎?考慮一下：如果你了解發(fā)布安全密鑰的個(gè)人或?qū)嶓w，你會(huì)更相信他們嗎?通常答案是肯定的，或至少是比較有可能的。現(xiàn)在，如果你是發(fā)布證書(shū)的人，你會(huì)信任一個(gè)不熟悉的人嗎?如果是你一點(diǎn)都不了解的人呢?

既然如此，如果證書(shū)的部署恰當(dāng)且安全，那為什么還要懷疑自簽署證書(shū)呢?如果部署不當(dāng)，自簽署證書(shū)就會(huì)帶來(lái)更大威脅，但是，如果部署得當(dāng)，就會(huì)帶來(lái)更多安全性。

受信任證書(shū)機(jī)構(gòu)(CA)發(fā)布的證書(shū)之所以被認(rèn)為是受信任是從幾個(gè)標(biāo)準(zhǔn)來(lái)衡量的。首先，他們?yōu)榱藶g覽器供應(yīng)商來(lái)驗(yàn)證所簽署證書(shū)的機(jī)會(huì)。這意味著如果你的證書(shū)是由這些受信任CA簽署，那么你的瀏覽器就不會(huì)在使用它的網(wǎng)頁(yè)上停止，只要包含在證書(shū)中的信息是準(zhǔn)確且與所訪問(wèn)站點(diǎn)是匹配的，這個(gè)證書(shū)的安裝就是起保護(hù)作用。

通常個(gè)人和企業(yè)利用SSL證書(shū)來(lái)保護(hù)網(wǎng)頁(yè)或Web應(yīng)用中的信息。這些應(yīng)用都指向內(nèi)部和外部用戶，主要取決于證書(shū)所在網(wǎng)站的屬性。如果你打算遵循自簽署證書(shū)的使用之道，那么***件必須做的事情就是確保架構(gòu)本身是安全的。如果你不能保護(hù)內(nèi)部CA服務(wù)器的安全，那就比別人強(qiáng)不了多少。這就像是建造一座地基不牢的房子一樣。如果你的地基不穩(wěn)，那么房子可能隨時(shí)會(huì)倒。

下一步，不要用其他任何功能重新定位你的證書(shū)服務(wù)器。還必須對(duì)要簽發(fā)SSL證書(shū)的服務(wù)器進(jìn)行保護(hù)，這樣你才不會(huì)淪為統(tǒng)計(jì)員。對(duì)要在環(huán)境中簽署所有SSL證書(shū)的CA根證書(shū)進(jìn)行合適部署也至關(guān)重要，因?yàn)檫@樣可以確保SSL部署的安全性。如果有人想盜取你的CA根證書(shū)，那么你的部署就形同虛設(shè)。

所以要確保你的服務(wù)器處于最安全的位置。推薦你講服務(wù)器放在有視頻監(jiān)控的地方，而且要鎖在服務(wù)器箱子里。對(duì)服務(wù)器所在地的要進(jìn)行最嚴(yán)格的準(zhǔn)入制度。而且不使用的時(shí)候，也建議關(guān)閉服務(wù)器電源。

現(xiàn)在，來(lái)看看最難的部分：客戶端的合理部署。你需要為所有要連接到你網(wǎng)站的用戶部署公共根證書(shū)，這樣他們才不會(huì)接收到證書(shū)不被信任的信息?？梢栽诖蠖鄶?shù)瀏覽器中手動(dòng)完成此操作，某些瀏覽器中還可以自動(dòng)完成。

為了讓你發(fā)布的證書(shū)受信任，你需要把根服務(wù)器的公共證書(shū)部署到要對(duì)你的安全站點(diǎn)進(jìn)行訪問(wèn)的工作基站瀏覽器中。這樣一來(lái)，當(dāng)用戶試圖訪問(wèn)使用根CA簽署的SSL證書(shū)的站點(diǎn)時(shí)，瀏覽器會(huì)信任它們。

有知名度的SSL供應(yīng)商可能希望你將這些操作看做是很難的。雖然這一進(jìn)程是乏味而單調(diào)的，但它并非像腦科手術(shù)那樣復(fù)雜。它是完全可以實(shí)現(xiàn)的，例如，在IE中通過(guò)ActiveDirectory中的群策略對(duì)象，F(xiàn)irefox和Safari系統(tǒng)需要更多工作，但是仍然是可以完成的。你只需要計(jì)劃好每三到五年進(jìn)行一次更新。與安全相比這種代價(jià)其實(shí)不大。

在終端保留CA服務(wù)器和SSL證書(shū)的管理間接費(fèi)用要高一些，但是換種思維方式：這種模式可以讓你完全控制自己的環(huán)境。你可以提前撤銷可疑證書(shū)。你可以隨時(shí)重新發(fā)布新證書(shū)。在較大的環(huán)境中，其優(yōu)勢(shì)明顯大于劣勢(shì)。

***，你要規(guī)劃出企業(yè)或個(gè)人需求，而且要了解你需要從SSL部署中獲得什么。列出正式SSL的安全需求以及架構(gòu)的加密計(jì)劃。確保所有的操作都與目標(biāo)一致，確保你能承擔(dān)所選項(xiàng)帶來(lái)的風(fēng)險(xiǎn)。畢竟，作為個(gè)人或公司，我們不能只是抗議和抱怨，因?yàn)槲覀冞x擇了讓陌生人持有CA，***只會(huì)將自己暴露給不法之徒。