囧要三傻发誓保守身世秘密，三傻事后将囧的身世透露给了小恶魔。
——《权利的游戏》剧情

今年年初的时候，某国际知名IT公司出现了一次几个小时的停服事故，事故的原因竟然是忘记对SSL证书进行续签，续签证书通常需要进行人工审核，即便是像微软这样的大企业也要花上一段时间。

SSL证书（SSL Certificates）为网站和移动应用（APP）提供HTTPS保护，对流量加密，防止数据被窃取。随着对网络安全的重视程度不断提高，SSL证书已经成为所有APP和网站的标配访问方式。

SSL证书通常分成三种：

• OV、最早出现的一种证书，需要进行人工审核后方可颁发，OV证书的应用最为广泛。
• EV、提供更高的安全等级，需要进行严格的审核后方可颁发，EV证书一般用于金融等需要高安全等级的应用场景。
• DV、为加快证书的颁发速度，通过DNS信息验证即可颁发，DV证书中不包含企业实名信息，钓鱼网站利用这一点常常注册近似的域名并获得DV证书以骗取信任。

所有证书都有时限，一般最长为两年，过期前都要重新申请，OV和EV由于需要人工审核，从申请到下发证书一般要数个工作日，EV型证书的审批时间将更长，注意这里说的是“工作日”，假如证书过期正好碰到长假……相关负责人的这个假期估计就别想好好过了。

为了防止硬件故障，我们通常额外配置冗余的硬件设备，组成双“机”热备集群系统。同样，我们也可以申请额外的证书组成双“证”热备系统，只要岔开时间向不同的证书颁发机构申请相同域名的证书即可，一旦发现证书过期，随时将另一个备用证书部署上去即可。

对于绝大多数的组织机构来说，对比因SSL证书过期导致服务停顿造成的损失，购买额外的SSL证书投入的成本小到可以忽略不计，双机都备了，双“证”也是可以有的。

目前主要的证书颁发机构包括：

• GeoTrust、Geotrust是全球第二大数字证书颁发机构Digicert旗下品牌。
• Digicert、Digicert（原Symantec证书）是 SSL/TLS 证书的领先提供商，为全球一百多万台网络服务器提供安全防护。
• GlobalSign、GlobalSign是全球最早的数字证书认证机构之一，一直致力于网络安全认证及数字证书服务，是一个备受信赖的 CA 和 SSL 数字证书提供商。
• CFCA、中国金融认证中心(CFCA)证书，由中国数字证书认证机构自主研发，纯国产证书。

证书颁发下来也别高兴太早，这里面还有“坑”，假如证书部署到服务器后发现并没有更新，可以再检查一下有没有部署CDN、云WAF、抗DDOS这样的服务，再看看有没有在SLB（负载均衡）、OSS对象存储服务上部署证书，在这些位置都要更新证书。