证书免费 ≠ 安全免责：厘清责任边界的三个认知盲区

【导读】：证书只是信任链起点。新网年度SLA报告显示，89%的HTTPS中断事故源自私钥保管失当、配置变更遗漏或上游依赖失效。真正的含义，是在不确定环境中守住确定的服务边界。
【风险溯源：那些不在CA承诺范围内的脆弱地带】

CA机构只担保两点：① 域名所有权归属正确；② 数字签名数学意义上不可伪造。其余一切都不在其保险范围内：

Web服务器软件自身漏洞（如Apache mod_ssl心脏出血变种）；
CDN厂商缓存污染导致旧公钥长时间滞留；
运维人员误删fullchain.pem造成证书链断裂；
第三方字体/WebFont托管服务返回HTTP资源触发混合内容警告。

这就是为何顶级金融机构坚持购买包含应急响应、人工巡检、攻防演练在内的综合服务包——因为从来都不是终点，而是治理纵深的刻度基准。
【防御加固：构建三层免疫体系的实际举措】

借鉴ISO/IEC 27001 Annex A.8.2条款，新网推荐客户建设立体防护矩阵：

L1 设备层：在防火墙/WAF处启用OCSP Must-Staple检测，拒绝对无有效 stapled response的连接；
L2 应用层：利用新网SSL健康诊断插件每日扫描证书透明度(CT)日志入库情况；
L3 组织层：制定《SSL证书管理制度》，明确规定申请→审批→部署→审计→退役全生命周期责任人。

唯有如此，“免费”方可兑现为可持续的价值交付。在此象征着一套经得起压力检验的责任传导机制。