保護(hù)多個(gè)域名和子域名不再需要不同的SSL證書�����。通配符SSL證書和SAN SSL證書都能夠使用單個(gè)證書跨多個(gè)域名���、子域名等提供數(shù)據(jù)加密和安全性���。在本文中����,我們將深入探討什么是什么是通配符SSL證書和SAN SSL證書��?
一�、通配符SSL證書
通配符SSL證書(WC SSL證書)保護(hù)一個(gè)標(biāo)有通配符 (*) 的主域名和與該主域名相同級(jí)別的無限子域名�。無論我們有20個(gè)子域名還是2000個(gè)子域名,我們都可以使用一個(gè)WC證書保護(hù)它們�����。例如網(wǎng)站的主域標(biāo)有星號(hào)��,它是*example.com。
一級(jí)子域?qū)㈩愃朴冢?/p>
例子.com
例子.com
例子.com
例子.com
二級(jí)子域看起來像這樣:
mail.example.com
shop.example.com
blog.example.com
開發(fā)者.example.com
第三級(jí)子域類似于 primary.login.example.com……等等����。
請(qǐng)務(wù)必注意���,通配符SSL將保護(hù)同一級(jí)別的多個(gè)子域,而不是多個(gè)級(jí)別���。因此,如果我們擁有 *example.com的WC SSL�����,那么我們就是在保護(hù)一級(jí)子域��。如果我們添加新的子域music.example.com或 news.example.com����,它們將自動(dòng)添加到證書中并受到保護(hù)。
但是�����,二級(jí)和三級(jí)子域?qū)⒉皇艽送ㄅ浞鸖SL證書的保護(hù)����。我們必須購(gòu)買另一個(gè)WC SSL證書來保護(hù)子域��,例如*shop.example.com或 *mail.example.com���。
優(yōu)點(diǎn):
1��、通配符SSL證書更易于管理�����,因?yàn)橛蚣捌錈o限子域在單個(gè)證書下得到保護(hù)。
2����、這是一個(gè)靈活的解決方案�,因?yàn)橥?jí)別的新子域會(huì)自動(dòng)添加到證書中并立即受到保護(hù)��,只要證書在有效期內(nèi)����。該組織不必重新頒發(fā)證書即可添加這些新的子域�����。
3��、同樣���,可以在必要時(shí)刪除子域�����,而無需重新頒發(fā)證書����。
4、通配符SSL證書是 保護(hù)多個(gè)子域的經(jīng)濟(jì)高效�、通用且實(shí)用的解決方案��。我們不必在多個(gè)證書上花很多錢。
5����、最好的通配符SSL還提供SAN(主題備用名稱)功能,使組織能夠保護(hù)其他域名��。
缺點(diǎn):
1�����、通配符SSL證書僅在域驗(yàn)證和組織驗(yàn)證保證級(jí)別可用���。
2���、擴(kuò)展驗(yàn)證不是一個(gè)選項(xiàng)��。例如�,如果攻擊者要?jiǎng)?chuàng)建一個(gè)欺詐性子域��,它將自動(dòng)添加到證書中��,無需驗(yàn)證或確認(rèn)����。攻擊者可能會(huì)利用它對(duì)用戶進(jìn)行網(wǎng)絡(luò)釣魚攻擊��。
3�����、它不保護(hù)多個(gè)級(jí)別的子域。
4��、如果多方管理不同的子域��,則需要在這些各方之間共享私鑰���。這會(huì)帶來未經(jīng)授權(quán)訪問���、數(shù)據(jù)泄露和其他攻擊的風(fēng)險(xiǎn)����。
5��、如果一個(gè)子域被攻破����,其他子域被攻破的可能性就很高。
二�����、SAN SSL證書
SAN SSL證書也稱為多域SSL證書和統(tǒng)一通信證書(UCC)���。SAN(主題備用名稱)SSL在單個(gè)SSL證書下保護(hù)多個(gè)完全限定域名(FQDN)和子域�����。
主域稱為公用名(CN)��,其他域稱為SAN�。SAN可以是其他FQDN、具有其他頂級(jí)域(TLD)的域�、子域或其他變體����。使用SAN SSL證書,組織可以保護(hù)�����,例如:
www.example.com
例子.com
www.1example.org
www.example2.net
2example.net
例子.co.uk
blog.example.com
anything.example1.org
dev.example3.com
mail.example.com
mail.example.net
證書所有者在發(fā)出證書簽名請(qǐng)求(CSR)時(shí)需要清楚地說明他們希望在多域SSL證書下保護(hù)的CN和所有SAN���。如果組織希望稍后將更多SAN 添加到證書中,則必須重新頒發(fā)證書���;這些新的SAN不會(huì)自動(dòng)添加到證書中�����。
優(yōu)點(diǎn):
1����、SAN SSL提供所有級(jí)別的驗(yàn)證——域、組織和擴(kuò)展驗(yàn)證��。
2�、多功能SAN SSL證書使組織能夠保護(hù)Web服務(wù)器主機(jī)名、IP地址�����、私有主機(jī)名�、支付網(wǎng)關(guān)和防火墻設(shè)備等。
3�、根據(jù)證書頒發(fā)機(jī)構(gòu)和選擇的計(jì)劃,我們可以在單個(gè)SAN SSL證書下保護(hù)50到250個(gè)額外的SAN����。
4���、它為希望使用單個(gè)證書保護(hù)多個(gè)域和子域的組織節(jié)省了時(shí)間和成本�。此外���,它更易于管理����。
缺點(diǎn):
1、如果要將新的子域或域添加到證書中��,則重新頒發(fā)證書�����。這會(huì)給網(wǎng)站帶來風(fēng)險(xiǎn)和停機(jī)時(shí)間�����。
2��、如果私鑰被盜或證書過期�,所有域和子域都容易受到攻擊和數(shù)據(jù)泄露。
三�����、通配符SSL證書與SAN SSL證書選擇哪一個(gè)�?
盡管存在差異,但SAN和通配符SSL證書提供相似的加密強(qiáng)度(256位)并且在大多數(shù)瀏覽器和設(shè)備之間兼容�。
如果我們想保護(hù)自己的根域及其子域,使用通配符SSL證書是有意義的�。如果我們有多個(gè)域并且想在哪個(gè)方向上擴(kuò)展我們的保護(hù),那么SAN證書是正確的選擇���。
以上是“什么是通配符SSL證書和SAN SSL證書���?”的分析�,希望能幫助到大家了解!
