我有一位安全顾问告诉我,出于安全原因,我们不能使用通配符SSL证书。 要清楚我更喜欢使用单个证书或多域证书(SAN)。 然而,我们需要服务器(plesk)到服务器100的子域名。
根据我的研究,人们不使用通配符的主要原因是以下这些似乎来自于verisign:
由于私钥,证书和子域名将全部存在于同一台服务器上,因此replace将如同replace这一个证书一样简单,并实现相同数量的用户。 那么有没有另外一个原因不使用通配符证书?
我所知道的唯一的另一个“难题”是扩展validation证书不能用通配符发布 ,所以如果您要使用EV证书,则不能select这个证书。
就安全性而言,您已经掌握了一切 – 单个私钥保护通配符下的所有域。 因此,举例来说,如果您拥有覆盖www.example.com的多域SAN证书,而且something.example.com .example.com受到攻击,那么只有这两个域有受到攻击的风险。
但是,如果相同的系统运行*.example.com证书来处理www和something子域的SSLstream量,并且被泄露,那么通配符覆盖的所有内容都可能存在风险,即使不是直接在该服务器上托pipe的服务 – 也可以说, webmail.example.com 。
安全:如果一个服务器或子域受到威胁,所有的子域可能会被破坏。
如果您为数百个虚拟主机使用单个Web服务器,则所有私钥都需要被该Web服务器进程读取。 如果一个人可以妥协的系统,他们可以读取一个密钥/证书,那么他们可能已经妥协了系统,以便他们可以抓住该Web服务器使用的所有私钥/证书。
密钥通常存储在文件系统中,具有只允许root访问它们的权限。 所以如果你的系统是根植的,那么你可能已经失去了一切。 如果你有一个单一的证书或许多,这并不重要。
pipe理:如果通配符证书需要被撤销,所有的子域将需要一个新的证书。
如果您为* .example.org使用通配符,则只需要replace单个证书即可。 如果您拥有one.example.org,two.example.org和three.example.org的证书,则必须replace3个证书。 所以通配证书是less工作的。 所以是的,那个证书将被撤销并被replace,但是因为你只需要replace一个而不是几百个,所以它应该很容易。
兼容性:通配符证书可能无法与较旧的服务器 – 客户端configuration无缝配合使用。
这些系统几乎肯定需要更新。 他们几乎肯定有很多其他的漏洞。