在第三方提供的SSL證書出現(xiàn)問題后，我們會不解為什么自己對這些供應(yīng)商如此信任。我們允許他們?yōu)槲覀兊木W(wǎng)站處理和生成受信任證書，但***即便是谷歌，微軟這樣的巨頭都不幸淪為受害者。

我們通常都被告知SSL證書只有在受信任機構(gòu)發(fā)布和簽署的情況下才是安全的，而且我們不應(yīng)該使用自簽署證書，除非是有限制的內(nèi)部使用或是用于測試。我們會對在產(chǎn)品環(huán)境中部署自簽署證書而瘋狂。

這是這個逐利行業(yè)所酷愛的事情嗎?考慮一下：如果你了解發(fā)布安全密鑰的個人或?qū)嶓w，你會更相信他們嗎?通常答案是肯定的，或至少是比較有可能的。現(xiàn)在，如果你是發(fā)布證書的人，你會信任一個不熟悉的人嗎?如果是你一點都不了解的人呢?

既然如此，如果證書的部署恰當(dāng)且安全，那為什么還要懷疑自簽署證書呢?如果部署不當(dāng)，自簽署證書就會帶來更大威脅，但是，如果部署得當(dāng)，就會帶來更多安全性。

受信任證書機構(gòu)(CA)發(fā)布的證書之所以被認為是受信任是從幾個標準來衡量的。首先，他們?yōu)榱藶g覽器供應(yīng)商來驗證所簽署證書的機會。這意味著如果你的證書是由這些受信任CA簽署，那么你的瀏覽器就不會在使用它的網(wǎng)頁上停止，只要包含在證書中的信息是準確且與所訪問站點是匹配的，這個證書的安裝就是起保護作用。

通常個人和企業(yè)利用SSL證書來保護網(wǎng)頁或Web應(yīng)用中的信息。這些應(yīng)用都指向內(nèi)部和外部用戶，主要取決于證書所在網(wǎng)站的屬性。如果你打算遵循自簽署證書的使用之道，那么***件必須做的事情就是確保架構(gòu)本身是安全的。如果你不能保護內(nèi)部CA服務(wù)器的安全，那就比別人強不了多少。這就像是建造一座地基不牢的房子一樣。如果你的地基不穩(wěn)，那么房子可能隨時會倒。

下一步，不要用其他任何功能重新定位你的證書服務(wù)器。還必須對要簽發(fā)SSL證書的服務(wù)器進行保護，這樣你才不會淪為統(tǒng)計員。對要在環(huán)境中簽署所有SSL證書的CA根證書進行合適部署也至關(guān)重要，因為這樣可以確保SSL部署的安全性。如果有人想盜取你的CA根證書，那么你的部署就形同虛設(shè)。

所以要確保你的服務(wù)器處于最安全的位置。推薦你講服務(wù)器放在有視頻監(jiān)控的地方，而且要鎖在服務(wù)器箱子里。對服務(wù)器所在地的要進行最嚴格的準入制度。而且不使用的時候，也建議關(guān)閉服務(wù)器電源。

現(xiàn)在，來看看最難的部分：客戶端的合理部署。你需要為所有要連接到你網(wǎng)站的用戶部署公共根證書，這樣他們才不會接收到證書不被信任的信息。可以在大多數(shù)瀏覽器中手動完成此操作，某些瀏覽器中還可以自動完成。

為了讓你發(fā)布的證書受信任，你需要把根服務(wù)器的公共證書部署到要對你的安全站點進行訪問的工作基站瀏覽器中。這樣一來，當(dāng)用戶試圖訪問使用根CA簽署的SSL證書的站點時，瀏覽器會信任它們。

有知名度的SSL供應(yīng)商可能希望你將這些操作看做是很難的。雖然這一進程是乏味而單調(diào)的，但它并非像腦科手術(shù)那樣復(fù)雜。它是完全可以實現(xiàn)的，例如，在IE中通過ActiveDirectory中的群策略對象，F(xiàn)irefox和Safari系統(tǒng)需要更多工作，但是仍然是可以完成的。你只需要計劃好每三到五年進行一次更新。與安全相比這種代價其實不大。

在終端保留CA服務(wù)器和SSL證書的管理間接費用要高一些，但是換種思維方式：這種模式可以讓你完全控制自己的環(huán)境。你可以提前撤銷可疑證書。你可以隨時重新發(fā)布新證書。在較大的環(huán)境中，其優(yōu)勢明顯大于劣勢。

***，你要規(guī)劃出企業(yè)或個人需求，而且要了解你需要從SSL部署中獲得什么。列出正式SSL的安全需求以及架構(gòu)的加密計劃。確保所有的操作都與目標一致，確保你能承擔(dān)所選項帶來的風(fēng)險。畢竟，作為個人或公司，我們不能只是抗議和抱怨，因為我們選擇了讓陌生人持有CA，***只會將自己暴露給不法之徒。