我正在考虑将一些网站转而使用 UC 或多域 SSL 证书。
我想我只是想知道缺点是什么。到目前为止,我能找到的唯一缺点是:
- 如果您不希望不同的域名相互识别,那么它们并不是理想的选择。
- 因为你只有一个证书,而不是多个,如果一个证书被泄露,那么安全风险就会更大
- 人们对与旧版浏览器以及部分移动浏览器的兼容性存在一些担忧
我们不会大量处理私人信息,只处理电子邮件、姓名、组织等信息。我们确实收集信用卡付款,但数量非常少。这些证书主要用于登录。
答案1
补充一下上面已经讲到的内容:
- 成本。
- 添加或删除域时需要重新申请并重新颁发证书。
我不会过分重视密钥泄露的安全问题;如果您的网络服务器被攻破并且托管了所有这些网站,那么单独证书的私钥对于攻击者来说就像单个备用名称证书的密钥一样容易被访问。
答案2
必须考虑性能和更新;
多域名 SSL 证书很受欢迎,它们不会暴露我上面描述的通配符证书的安全风险,但它们也存在一些问题。首先,您添加到证书中的 SAN 字段越多,证书就越大,而证书大小会影响您网站的性能。由于必须在加载任何内容之前将证书下载到浏览器,因此您应该特别注意所用 SSL 证书的大小。具有 5 个或 10 个 SAN 的多域名证书可能不会产生太大影响,但具有 50 个或 100 个 SAN 的多域名证书可能会对性能产生很大影响。
多域名证书通常会更新以添加或删除网站。每次进行更改时,都必须在其保护的所有网站上重新颁发和替换证书。这些更改可能会带来风险,并导致您的网站停机。