保護(hù)多個(gè)域名和子域名不再需要不同的SSL證書。通配符SSL證書和SAN SSL證書都能夠使用單個(gè)證書跨多個(gè)域名�、子域名等提供數(shù)據(jù)加密和安全性。在本文中���,我們將深入探討什么是什么是通配符SSL證書和SAN SSL證書����?
一、通配符SSL證書
通配符SSL證書(WC SSL證書)保護(hù)一個(gè)標(biāo)有通配符 (*) 的主域名和與該主域名相同級別的無限子域名��。無論我們有20個(gè)子域名還是2000個(gè)子域名���,我們都可以使用一個(gè)WC證書保護(hù)它們����。例如網(wǎng)站的主域標(biāo)有星號��,它是*example.com��。
一級子域?qū)㈩愃朴冢?/p>
例子.com
例子.com
例子.com
例子.com
二級子域看起來像這樣:
mail.example.com
shop.example.com
blog.example.com
開發(fā)者.example.com
第三級子域類似于 primary.login.example.com……等等����。
請務(wù)必注意�,通配符SSL將保護(hù)同一級別的多個(gè)子域��,而不是多個(gè)級別���。因此�,如果我們擁有 *example.com的WC SSL��,那么我們就是在保護(hù)一級子域�。如果我們添加新的子域music.example.com或 news.example.com,它們將自動添加到證書中并受到保護(hù)����。
但是,二級和三級子域?qū)⒉皇艽送ㄅ浞鸖SL證書的保護(hù)�。我們必須購買另一個(gè)WC SSL證書來保護(hù)子域�,例如*shop.example.com或 *mail.example.com。
優(yōu)點(diǎn):
1���、通配符SSL證書更易于管理����,因?yàn)橛蚣捌錈o限子域在單個(gè)證書下得到保護(hù)����。
2��、這是一個(gè)靈活的解決方案�����,因?yàn)橥墑e的新子域會自動添加到證書中并立即受到保護(hù)��,只要證書在有效期內(nèi)���。該組織不必重新頒發(fā)證書即可添加這些新的子域。
3���、同樣����,可以在必要時(shí)刪除子域���,而無需重新頒發(fā)證書��。
4����、通配符SSL證書是 保護(hù)多個(gè)子域的經(jīng)濟(jì)高效、通用且實(shí)用的解決方案���。我們不必在多個(gè)證書上花很多錢��。
5����、最好的通配符SSL還提供SAN(主題備用名稱)功能�����,使組織能夠保護(hù)其他域名��。
缺點(diǎn):
1��、通配符SSL證書僅在域驗(yàn)證和組織驗(yàn)證保證級別可用���。
2�����、擴(kuò)展驗(yàn)證不是一個(gè)選項(xiàng)。例如��,如果攻擊者要創(chuàng)建一個(gè)欺詐性子域,它將自動添加到證書中�,無需驗(yàn)證或確認(rèn)。攻擊者可能會利用它對用戶進(jìn)行網(wǎng)絡(luò)釣魚攻擊�����。
3��、它不保護(hù)多個(gè)級別的子域�����。
4����、如果多方管理不同的子域,則需要在這些各方之間共享私鑰�����。這會帶來未經(jīng)授權(quán)訪問���、數(shù)據(jù)泄露和其他攻擊的風(fēng)險(xiǎn)�。
5����、如果一個(gè)子域被攻破�����,其他子域被攻破的可能性就很高�。
二�、SAN SSL證書
SAN SSL證書也稱為多域SSL證書和統(tǒng)一通信證書(UCC)。SAN(主題備用名稱)SSL在單個(gè)SSL證書下保護(hù)多個(gè)完全限定域名(FQDN)和子域���。
主域稱為公用名(CN)����,其他域稱為SAN���。SAN可以是其他FQDN����、具有其他頂級域(TLD)的域��、子域或其他變體��。使用SAN SSL證書����,組織可以保護(hù),例如:
www.example.com
例子.com
www.1example.org
www.example2.net
2example.net
例子.co.uk
blog.example.com
anything.example1.org
dev.example3.com
mail.example.com
mail.example.net
證書所有者在發(fā)出證書簽名請求(CSR)時(shí)需要清楚地說明他們希望在多域SSL證書下保護(hù)的CN和所有SAN���。如果組織希望稍后將更多SAN 添加到證書中�����,則必須重新頒發(fā)證書����;這些新的SAN不會自動添加到證書中�����。
優(yōu)點(diǎn):
1����、SAN SSL提供所有級別的驗(yàn)證——域、組織和擴(kuò)展驗(yàn)證�。
2、多功能SAN SSL證書使組織能夠保護(hù)Web服務(wù)器主機(jī)名���、IP地址����、私有主機(jī)名、支付網(wǎng)關(guān)和防火墻設(shè)備等����。
3、根據(jù)證書頒發(fā)機(jī)構(gòu)和選擇的計(jì)劃��,我們可以在單個(gè)SAN SSL證書下保護(hù)50到250個(gè)額外的SAN�。
4、它為希望使用單個(gè)證書保護(hù)多個(gè)域和子域的組織節(jié)省了時(shí)間和成本����。此外,它更易于管理�����。
缺點(diǎn):
1��、如果要將新的子域或域添加到證書中��,則重新頒發(fā)證書��。這會給網(wǎng)站帶來風(fēng)險(xiǎn)和停機(jī)時(shí)間。
2�、如果私鑰被盜或證書過期,所有域和子域都容易受到攻擊和數(shù)據(jù)泄露�����。
三���、通配符SSL證書與SAN SSL證書選擇哪一個(gè)?
盡管存在差異��,但SAN和通配符SSL證書提供相似的加密強(qiáng)度(256位)并且在大多數(shù)瀏覽器和設(shè)備之間兼容�。
如果我們想保護(hù)自己的根域及其子域,使用通配符SSL證書是有意義的��。如果我們有多個(gè)域并且想在哪個(gè)方向上擴(kuò)展我們的保護(hù)����,那么SAN證書是正確的選擇。
以上是“什么是通配符SSL證書和SAN SSL證書��?”的分析�,希望能幫助到大家了解!
