网站部署SSL证书,已经成为共识和得到了普及应用。SSL证书由全球信任的CA从自己的中级根证书为用户签发SSL证书,互联网公司当然是各个CA的大客户,但是细心的读者一定访问过各大互联网巨头的官网或云服务提供商网站,也许会发现这些网站部署的SSL证书的证书链同自己网站部署的有点不一样。哪里不一样,还是先看看下面的SSL证书链截图吧,分别是微软云官网、苹果公司官网、亚马逊云官网和谷歌搜索官网。
(资料图片)
图1图2图3图4这4张SSL证书的不同之处是中级根证书名称是各自公司的名称。
从第1张截图可以看出,微软云自用SSL证书是从DigiCert根证书定制的中级根证书Microsoft Azure TLS Issuing CA签发,Issuing CA意思是签发CA根证书,是用于签发用户SSL证书的中级根证书。
第2张截图是苹果公司官网自用SSL证书,从DigiCert根证书定制的中级根证书Apple Public EV Server RSA CA签发。第3张截图是亚马逊云服务网站自用SSL证书,由自己的根证书签发,也就是说,亚马逊成立了自己的CA公司-Amazon Trust Services。
第4张截图是谷歌官网自用SSL证书,也是由自己的根证书签发,其根证书由GlobalSign根证书交叉签名。
我们再看看下面的3张SSL证书截图,分别是百度云给用户签发的SSL证书、阿里云给用户签发的SSL证书和联通CA官网用SSL证书。
图5图6图7从第5张截图可以看出,百度云已经定制了SSL中级根证书用于签发用户SSL证书,这是从Sectigo根证书定制的中级根证书Baidu, Inc. OV CA。
从第6张截图可以看出,阿里云也定制了SSL中级根证书用于签发用户SSL证书,这是从GlobalSign根证书定制的中级根证书Alibaba Cloud GCC R3 TLS OV CA。
前两家既是互联网巨头,也是领先的云服务提供商,其中百度中级根证书是2020年4月定制的,已经以BaiduTrust品牌为百度云用户签发SSL证书,而阿里云中级根证书则是2021 年6月定制的,也已经为用户签发SSL证书。
第7张截图是联通CA签发给自己官网的SSL证书,这是从GlobalSign根证书定制的中级根证书CUISEC GCC R3 TLS OV CA签发的。这是中国联通的子公司联通CA计划进军SSL证书市场的行动,2021年4月定制了3个SSL中级根证书。
为何这些国内外的互联网巨头们都定制了SSL中级根证书呢?这里给大家总结出以下三点理由供大家参考、借鉴和学习。
第一,这是对其他SSL中级根证书的零信任,只信任自己的中级根证书签发的SSL证书。
第二,用于设置官网域名的CAA记录。
第三,为用户提供自己品牌的SSL证书,不仅能带来新的业务收入,更重要的是为其他云服务产品增强了竞争力。
关键词: