通配符证书提高了灵活性和多功能性,提供了一个有价值的选择,可帮助您的企业降低成本、提供高效加密并提高可扩展性。本文将解释什么是通配符证书、它们的工作原理以及使用此类 SSL 证书的好处和潜在的安全风险。
什么是通配符证书?
通配符SSL 证书是一个单一的 SSL/TLS 证书,可以显着节省时间和成本,特别是对于小型企业。该证书在域名字段中包含一个通配符(*),可以保护主域的多个子域。
通配符证书如何工作?
通配符 SSL 证书涵盖所有子域名,而不是使用多个证书来保护您的企业的互联网流量。例如,“*.google.com”的单一通配符证书可用于保护“www.google.com”、“mail.google.com”和“calendar.google.com”。
通配符证书分为两大类:
- 域验证 (DV) 证书可以在购买后快速交付,但您必须证明您拥有该域。
- 组织验证 (OV) 证书只能由注册企业使用,您的公司信息将放在证书中。但是,您必须通过审查程序才能获得批准。
通配符 SSL 证书包含一个私钥,该私钥在所有子域之间共享。在创建证书期间发出证书签名请求 (CSR) 时会生成私钥。如果使用多台服务器,您将需要在安装证书时将私钥复制到每台服务器上。
SSL 和通配符 SSL 有什么区别?
标准和常规通配符证书都提供重要的加密功能。然而,虽然标准证书适用于单个域或子域,但通配符证书涵盖多个子域——URL 的初始部分在域名之前。
与通配符证书最相似的证书被称为主题备用名称 (SAN) 证书或统一通信证书 (UCC)。与仅涵盖无限数量的子域的通配符证书相比,UCC/SAN 证书提供了能力将最多 250 个域和子域保护到一个 SSL 证书中(例如,mail.google.com 和 mail.google.co.uk)。这些证书的一个限制是您必须在购买证书时列出所有域/子域。但是,您可以在任何阶段使用通配符修改这些内容。
通配符 SSL 专家
通配符 SSL 证书可以轻松保护多个子域,从而提高企业的生产力和效率。例如,通配符提供了根据需要添加子域的灵活性,最大限度地减少了管理时间,并允许您制定更灵活的 IT 策略。通配符 SSL 也比为每个子域购买单独的证书更具成本效益。相反,单个证书可用于无限数量的子域。
通配符证书的另一个优点是它们可以在多个服务器上使用。例如,如果您计划将您的电子邮件子域保留在一台服务器上,而将您的主要面向公众的网站保留在另一台服务器上,则可以使用相同的通配符 SSL 来实现。
通配符 SSL 缺点
使用通配符证书几乎没有缺点,但主要缺点是安全性。虽然 SSL 证书提供高级别加密(使用 HTTPS 保护网站),但单个证书意味着多个子域只有一个入口点。这可能会带来欺骗攻击的风险,黑客会访问机密数据、传播有害恶意软件或操纵现有操作。
在选择证书时,服务器安全应该是一个关键的考虑因素。如果使用多个服务器,这可能会给现有的安全实践带来进一步的压力。安装证书需要将证书文件复制到服务器,然后将私钥从主服务器复制到所有其他服务器。因为这涉及极其微妙和有价值的信息的物理移动,它打开了其他攻击途径——服务器连接的安全性,以及服务器维护和允许访问的工作实践都面临更大的压力。
涉及的人越多——从管理域的个人(IT 主管)到注册商(组织)——受到攻击的风险就越大。如果私钥被泄露,所有使用通配符的子域也将被泄露,因为证书可能安装在组织外部的其他服务器上。
最后,不能在所有验证级别使用通配符证书。虽然它们可以在域验证 (DV) 和组织验证 (OV) 级别自由使用,但不能用于扩展验证 (EV)。在这种情况下,部署单个证书或多域证书将是有益的。