Gra*_*ace 9 security ssl https
我有一个安全顾问告诉我,出于安全原因,我们不能使用通配符 SSL 证书。需要明确的是,我更喜欢使用单证书或多域证书 (SAN)。但是,我们需要服务器 (plesk) 来处理 100 个子域。
根据我的研究,人们网站不使用通配符的主要原因是以下似乎来自威瑞信:
由于私钥、证书和子域都将存在于同一台服务器上……替换就像替换这个证书并影响相同数量的用户一样简单。因此还有另一个不使用通配符证书的原因吗?
我所知道的唯一其他“问题”是无法使用通配符颁发扩展验证证书,因此如果您要获得 EV 证书,这不是一个选项。
在安全性方面,您一针见血 - 单个私钥可以保护通配符下的所有域。因此,例如,如果您有一个多域 SAN 证书被覆盖www.example.com并被something.example.com泄露,那么只有这两个域有被泄露密钥攻击的风险。
但是,如果同一个系统中,而不是运行一个*.example.com证书来处理SSL流量www和something子域和被泄露,那么一切都覆盖通配符是潜在的风险,甚至不服务直接托管在该服务器上-比如,webmail.example.com。
| 归档时间: |
|
| 查看次数: |
8464 次 |
| 最近记录: |