保護多個域名和子域名不再需要不同的SSL證書�。通配符SSL證書和SAN SSL證書都能夠使用單個證書跨多個域名、子域名等提供數(shù)據(jù)加密和安全性。在本文中�,我們將深入探討什么是什么是通配符SSL證書和SAN SSL證書�?
一��、通配符SSL證書
通配符SSL證書(WC SSL證書)保護一個標(biāo)有通配符 (*) 的主域名和與該主域名相同級別的無限子域名����。無論我們有20個子域名還是2000個子域名,我們都可以使用一個WC證書保護它們�����。例如網(wǎng)站的主域標(biāo)有星號�,它是*example.com�。
一級子域?qū)㈩愃朴冢?/p>
例子.com
例子.com
例子.com
例子.com
二級子域看起來像這樣:
mail.example.com
shop.example.com
blog.example.com
開發(fā)者.example.com
第三級子域類似于 primary.login.example.com……等等�。
請務(wù)必注意��,通配符SSL將保護同一級別的多個子域�,而不是多個級別��。因此����,如果我們擁有 *example.com的WC SSL��,那么我們就是在保護一級子域�。如果我們添加新的子域music.example.com或 news.example.com��,它們將自動添加到證書中并受到保護。
但是��,二級和三級子域?qū)⒉皇艽送ㄅ浞鸖SL證書的保護。我們必須購買另一個WC SSL證書來保護子域�����,例如*shop.example.com或 *mail.example.com��。
優(yōu)點:
1�����、通配符SSL證書更易于管理�����,因為域及其無限子域在單個證書下得到保護���。
2、這是一個靈活的解決方案��,因為同級別的新子域會自動添加到證書中并立即受到保護����,只要證書在有效期內(nèi)�。該組織不必重新頒發(fā)證書即可添加這些新的子域。
3�、同樣,可以在必要時刪除子域�����,而無需重新頒發(fā)證書�。
4�、通配符SSL證書是 保護多個子域的經(jīng)濟高效��、通用且實用的解決方案�����。我們不必在多個證書上花很多錢����。
5���、最好的通配符SSL還提供SAN(主題備用名稱)功能,使組織能夠保護其他域名���。
缺點:
1���、通配符SSL證書僅在域驗證和組織驗證保證級別可用。
2、擴展驗證不是一個選項�。例如,如果攻擊者要創(chuàng)建一個欺詐性子域,它將自動添加到證書中�����,無需驗證或確認�。攻擊者可能會利用它對用戶進行網(wǎng)絡(luò)釣魚攻擊���。
3�、它不保護多個級別的子域。
4����、如果多方管理不同的子域����,則需要在這些各方之間共享私鑰。這會帶來未經(jīng)授權(quán)訪問�����、數(shù)據(jù)泄露和其他攻擊的風(fēng)險����。
5、如果一個子域被攻破�����,其他子域被攻破的可能性就很高����。
二����、SAN SSL證書
SAN SSL證書也稱為多域SSL證書和統(tǒng)一通信證書(UCC)�。SAN(主題備用名稱)SSL在單個SSL證書下保護多個完全限定域名(FQDN)和子域����。
主域稱為公用名(CN),其他域稱為SAN�。SAN可以是其他FQDN、具有其他頂級域(TLD)的域����、子域或其他變體。使用SAN SSL證書��,組織可以保護�,例如:
www.example.com
例子.com
www.1example.org
www.example2.net
2example.net
例子.co.uk
blog.example.com
anything.example1.org
dev.example3.com
mail.example.com
mail.example.net
證書所有者在發(fā)出證書簽名請求(CSR)時需要清楚地說明他們希望在多域SSL證書下保護的CN和所有SAN。如果組織希望稍后將更多SAN 添加到證書中����,則必須重新頒發(fā)證書;這些新的SAN不會自動添加到證書中���。
優(yōu)點:
1�、SAN SSL提供所有級別的驗證——域、組織和擴展驗證�。
2���、多功能SAN SSL證書使組織能夠保護Web服務(wù)器主機名�����、IP地址���、私有主機名、支付網(wǎng)關(guān)和防火墻設(shè)備等����。
3、根據(jù)證書頒發(fā)機構(gòu)和選擇的計劃����,我們可以在單個SAN SSL證書下保護50到250個額外的SAN。
4�、它為希望使用單個證書保護多個域和子域的組織節(jié)省了時間和成本。此外����,它更易于管理。
缺點:
1�、如果要將新的子域或域添加到證書中,則重新頒發(fā)證書��。這會給網(wǎng)站帶來風(fēng)險和停機時間���。
2����、如果私鑰被盜或證書過期,所有域和子域都容易受到攻擊和數(shù)據(jù)泄露��。
三�����、通配符SSL證書與SAN SSL證書選擇哪一個����?
盡管存在差異�����,但SAN和通配符SSL證書提供相似的加密強度(256位)并且在大多數(shù)瀏覽器和設(shè)備之間兼容���。
如果我們想保護自己的根域及其子域����,使用通配符SSL證書是有意義的�。如果我們有多個域并且想在哪個方向上擴展我們的保護,那么SAN證書是正確的選擇��。
以上是“什么是通配符SSL證書和SAN SSL證書����?”的分析�����,希望能幫助到大家了解��!
