我的安全顧問告訴我,出於安全原因,我們不能使用通配符 SSL 憑證。需要明確的是,我更喜歡使用單一憑證或多域憑證(SAN)。然而,我們需要伺服器 (plesk) 來服務 100 個子網域。
根據我的研究,人們網站不使用通配符的主要原因如下,似乎來自威瑞信:
- 安全性:如果一台伺服器或子網域受到威脅,則所有子網域都可能受到威脅。
- 管理:如果需要吊銷通配符證書,則所有子網域都需要新的證書。
- 相容性:通配符憑證可能無法與
較舊的伺服器用戶端設定無縫配合。 - 保護:VeriSign 通配符 SSL 憑證不受 NetSure 延長保固的保護。
由於私鑰、憑證和子網域都存在於同一台伺服器上...替換就像替換這個憑證一樣簡單,並且會影響相同數量的使用者。因此,還有另一個不使用通配符憑證的原因嗎?
答案1
我所知道的唯一的其他“問題”是無法使用通配符頒發擴充驗證證書,所以如果您想要獲得 EV 證書,這不是一個選擇。
在安全性方面,您已經擊中要害 - 單一私鑰可以保護通配符下的所有網域。因此,舉例來說,如果您有一個多域 SAN 證書,該證書被覆蓋www.example.com並something.example.com遭到洩露,則只有這兩個網域面臨受到洩露金鑰攻擊的風險。
但是,如果同一系統運行*.example.com憑證來處理子網域的 SSL 流量www並something受到損害,那麼該通配符涵蓋的所有內容都可能面臨風險,甚至是不直接託管在該伺服器上的服務 - 例如,webmail.example.com.
答案2
安全性:如果一台伺服器或子網域受到威脅,則所有子網域都可能受到威脅。
如果您為數百個虛擬主機使用單一 Web 伺服器,則該 Web 伺服器程序需要讀取所有私鑰。如果一個人可以將系統破壞到可以讀取一個金鑰/憑證的程度,那麼他們可能已經將系統破壞到可以取得該 Web 伺服器所使用的所有私鑰/憑證的程度。
金鑰通常儲存在檔案系統上,並且具有僅允許 root 存取它們的權限。因此,如果您的系統已root,那麼您可能已經失去了一切。您擁有一個還是多個證書並不重要。
管理:如果需要吊銷通配符證書,則所有子網域都需要新的證書。
如果您對 *.example.org 使用通配符,則只需取代單一憑證。如果您有 one.example.org、two.example.org 和 Three.example.org 的證書,則必須取代 3 張證書。所以通配符憑證的工作量更少。所以是的,該證書將被撤銷和替換,但由於您只需要替換一個而不是數百個,所以這應該很容易。
相容性:通配符憑證可能無法與較舊的伺服器用戶端設定無縫配合。
這些系統幾乎肯定需要更新。幾乎可以肯定,它們還有許多其他漏洞。