假设我正在使用 AWS 证书管理器获取example.com用于 AWS CloudFront 的证书。我可以指定备用域www.example.com并将其指向我的 DNS 中的另一个 CloudFront 分发。
但是 AWS 证书管理器还允许我指定通配符*.example.com作为备用域,这样一来,blog.example.com如果我决定需要的话,我可以将 DNS 设置为路由到另一个 CloudFront 分发版。
将通配符域(例如*.example.comAWS 证书管理器)添加到其中是否有任何缺点?成本是否更高?这会在某种程度上使我的配置变得不灵活吗?为什么我不想始终将通配符指定*.example.com为备用域,因为这样我可以灵活地在将来随时添加子域?
答案1
优点是它非常灵活。通配符证书允许您在将来添加备用域。一般来说,星级证书的“正常”缺点是它们可能很昂贵,并且可能存在安全漏洞。
对于您的使用情况,它们一点也不昂贵,AWS Certificate Manager是免费的:
通过 AWS 证书管理器配置的公共 SSL/TLS 证书是免费的。您只需为运行应用程序而创建的 AWS 资源付费。
至于安全漏洞,当您将星级证书加载到服务器上时,这确实是一个问题。由于ACM证书是内部管理的,并在 AWS 服务上使用,因此漏洞要小得多。
您无法直接在网站或应用程序上安装公共 ACM 证书。您必须使用与 ACM 和 ACM PCA 集成的服务之一来安装证书
我提供了一些参考资料,提供了有关通配符证书漏洞的更多详细信息。
参考