子域名的 SSL 证书

子域名的 SSL 证书

我们有域名:littledogs.com 和子域名 pics.littledogs.com。这两个域名指向两台服务器。业务登录在服务器 A(littledog.com)上,我们将所有图片存储在服务器 B(pics.littledog.com)上。我们为 littledogs.com 购买了一个 EV SSL,但我们也想为另一台服务器购买另一个,因为我们想使用 https 提供图像链接。我们拥有的 EV SSL 不支持通配符。那么解决方案是什么?

答案1

https://www.digicert.com/extended-validation-ev-ssl.htm

幸运的是,虽然不允许使用 EV 通配符(由于 CAB 论坛对颁发 EV 证书提出了要求,该论坛负责规范 EV 证书的使用和颁发),但使用主题备用名称可以实现许多类似的功能。

因此,要么获取包含您需要的所有名称的单个 EV 证书,要么获取多个 EV 证书。

答案2

证书(除非是 wildcats 证书)仅对特定域有效。

EV 证书不能有通配符。

您需要其他域名的另一个证书,或者您需要请求更改您的 EV 证书以包含该子域名。

由于没有人会直接访问您的子域名,因此为该域名额外花费 EV 证书可能毫无意义(除非您当前的证书提供商将该子域名添加到您当前的证书中并以合理的价格重新颁发)。您甚至可以从一些提供商那里获得该子域名的免费证书(请留意LetsEncrypt顺便说一下,这是一家非常新的提供商,旨在自动提供免费的 DV 证书)。

在另一个相关问题上,域分片(即为图片等资产设置单独的域)既有好处,也有坏处。主要好处是它们可以带来性能优势(因为 Web 浏览器可以打开更多到该域的连接以并行下载),但坏处包括一些性能损失(因为打开连接和 SSL 协商需要时间和资源)。HTTP/2 消除了性能优势,因此在其成为主流之后,我会看到分片逐渐被淘汰。

相关内容