我有一位安全顾问告诉我,出于安全原因,我们不能使用通配符 SSL 证书。明确地说,我更喜欢使用单个证书或多域证书 (SAN)。但是,我们需要服务器 (plesk) 来为 100 个子域提供服务。
根据我的研究,人们网站不使用通配符的主要原因如下,这似乎来自 verisign:
- 安全性:如果一台服务器或子域受到威胁,所有子域都可能受到威胁。
- 管理:如果需要撤销通配符证书,则所有子域都需要新的证书。
兼容性:通配符证书可能无法与旧的服务器-客户端配置无缝协作。- 保护:VeriSign Wildcard SSL 证书不受 NetSure 延长保修的保护。
由于私钥、证书和子域名都存在于同一台服务器上……替换将像替换这一个证书一样简单,并且会影响相同数量的用户。因此,还有其他理由不使用通配符证书吗?
答案1
我知道的另一个“陷阱”是扩展验证证书不能使用通配符颁发,所以如果您要申请 EV 证书,这不是一个选择。
在安全性方面,您说对了 - 单个私钥保护通配符下的所有域。因此,例如,如果您有一个覆盖多域的 SAN 证书,www.example.com并且something.example.com该证书被盗用,则只有这两个域面临使用盗用密钥进行攻击的风险。
但是,如果同一系统运行*.example.com证书来处理www和something子域的 SSL 流量并受到威胁,那么该通配符涵盖的所有内容都可能面临风险,即使是未直接托管在该服务器上的服务 - 例如webmail.example.com。
答案2
安全性:如果一台服务器或子域受到威胁,所有子域都可能受到威胁。
如果您使用单个 Web 服务器来管理数百个虚拟主机,那么所有私钥都需要由该 Web 服务器进程读取。如果某人可以破坏系统,使其能够读取一个密钥/证书,那么他们可能已经破坏了系统,使其能够获取该 Web 服务器使用的所有私钥/证书。
密钥通常存储在文件系统中,并且只有 root 才有权访问它们。因此,如果您的系统已 root,那么您可能已经丢失了所有内容。无论您拥有单个证书还是多个证书,都没有关系。
管理:如果需要撤销通配符证书,则所有子域都需要新的证书。
如果您对 *.example.org 使用通配符,则只需替换一个证书。如果您拥有 one.example.org、two.example.org 和 three.example.org 的证书,则必须替换 3 个证书。因此,使用通配符证书的工作量较少。因此,是的,该证书将被撤销和替换,但由于您只需替换一个而不是数百个,因此应该非常容易。
兼容性:通配符证书可能无法与旧的服务器-客户端配置无缝协作。
这些系统几乎肯定需要更新。它们几乎肯定存在许多其他漏洞。