我已经研究和使用 SSL 证书一段时间了,我的组织正在考虑使用通配符证书,而不是我们现在拥有的多域 san 证书。我需要知道的是,为什么我们不应该走通配符证书路线?我知道它们的工作原理,但我需要向他们推销它。我知道优点和缺点。
我一直在研究为什么不使用它的原因,我能找到的唯一缺点是每个网站或人都说的,“如果 .key 被破解,那么 WCS 也会被破解”。我需要一个更好的理由来说明为什么不使用它,因为多域名与 .key 一样。我们已经并可以采取措施使其更安全。
我们正在考虑从具有数百个 SAN 的 1 UC 多域开始,并使用通配符将其分解。这也将通过 NetScaler SDX 11500 运行。我不是 NetScaler 的忠实用户,但我了解它。如果我们启用了 SNI,我们可以加载不同的证书和密钥吗?
您还知道哪些措施可以提高安全性吗?谢谢
答案1
这不是非此即彼的问题,除非您将它设置为非此即彼,或者您的证书经销商坚持这样做。
SNI 的一个缺点是旧设备不支持 SNI。如果旧设备不支持 SNI,它们将使用设备上的默认绑定。
更具体地说,通配符证书保护单级子域名,例如:
*.example.com
将涵盖
foo.example.com
bar.example.com
autodiscover.example.com
它会不是覆盖
foo.bar.example.com
autodiscover.example.net
因此,如果您需要覆盖的每个域都是给定域下的单个级别,那么通配符无疑是一种简单且便宜的方法。
带有 SAN 的证书可让您覆盖尽可能多的不同域。它甚至可以在 SAN 中包含通配符,因此您可以:
*.example.com
*.example.net
*.example.org
只需查看证书即可这地点:
您可能希望将证书链保持较小,以便您可以在单个数据包中交换整个证书和链。根据证书链的长度,这可能会限制在单个证书超出边界之前可以放入的 SAN 数量。
正如您正确指出的那样,通配符或 SAN 也存在同样的安全问题。这实际上取决于您需要什么以及哪种方式更易于维护。
如果您可以支持数十个单独的证书,并且乐意使用 SNI(以及潜在的陷阱),那么就这样做吧。如果您不想使用 SNI 或不想管理数十个证书,请使用通配符和/或 SAN 并采取折衷措施。
没有正确或错误的答案,只有适合您的答案。
答案2
在我们的环境中,通配符证书的主要问题是在第三级域名上使用它时出现问题,这根本是不可能的,例如,它适用于 *.domain.tld,但不适用于 *.second.domain.tld。
答案3
我们在使用通配符证书时遇到的唯一问题是 Microsoft Lync Server 2013,它不支持某些服务的通配符证书,因为客户端使用的证书验证不支持通配符。我不确定最新版本的 Lync 2016(又名 Skype for business)是否仍有此限制,或者确实存在此限制的原因 - 大概是某种安全措施