什么是通配符证书？

通配符证书，也称为通配符 SSL 证书，是一种用于保护单个域的多个子域的数字证书。

通配符经常用于安全套接字层 (SSL) 证书中，以将 SSL 加密扩展到子域。传统的SSL 证书仅对单个域有效，例如 www.abc.com。* .abc.com通配符证书可以保护一个域下的所有子域，例如cloud.abc.com、shop.abc.com、mobile.abc.com 等域。

星号 (*)在证书中用作通配符。它可以代表任何单个子域级别。例如，如果您有 *.abc.com 的通配符证书，则它将适用于任何子域，例如 Finance.abc.com、maketing.example.com 等。

通配符证书对于拥有大量子域并希望在单个证书下保护所有子域的组织特别有用。它们为用户浏览器和网络服务器之间传输的数据提供加密和身份验证，从而增强网络通信的安全性和隐私性。但是，仔细管理通配符证书至关重要，因为如果私钥遭到泄露，攻击者可能会使用它来冒充通配符域下的任何子域。因此，使用通配符证书时，适当的安全实践（例如保护私钥和定期更新证书）至关重要。

通配符证书的问题

通配符证书的广泛使用存在一些主要的安全问题。

1. 错误的安全感

   在高安全性系统中，例如：“https://cloud.abc.com”或“https://personnel_records.abc.com”，明确指定它们的名称至关重要。通配符证书可能会给人一种错误的安全感，因为它们不能保证用户真正访问预期的系统。用户可能会在不知不觉中连接到过时或不活动的链接或不再具有任何用途的服务器。使用通配符隐藏潜在的服务器和 DNS 错误。

   
   

2. 滥用证书及其相关私钥

   使用通配符证书会显着增加证书落入坏人之手的风险。通配符证书配置不当可能会导致安全漏洞。如果它们的设置不正确或者它们的私钥被暴露，攻击者就可以利用它们。这主要是因为像“*.abc.com”这样的通配符证书可能会广泛部署在各种系统中，包括高安全性会计系统、电话簿、路由器和负载均衡器。这是一个基本概率问题：参与安装相同通配符证书的个人越多，该证书被泄露或泄露的可能性就越大。相比之下，命名证书是在指定团队设置特定系统期间专门安装和管理的。这种方法大大增强了责任感。此外，命名主题备用名称 (SAN) 证书只能在指定的 SAN 设备上使用，确保无错误连接。”

1. 安全问题

   如果通配符证书的私钥被泄露，它可能会被用来冒充通配符域下的任何子域。这使得严格保护私钥变得至关重要。

   
   

2. 仅限于单一级别

   通配符证书仅覆盖一级子域。例如，*.abc.com 的证书可以保护 blog.abc.com 和 mail.abc.com 等子域，但不能保护 sub.blog.abc.com 等子域。为了保护多个级别的子域，您需要一个多级别通配符证书，该证书可能更昂贵且不太常见。

   
   

3. 第三方的复杂性

   某些第三方服务或应用程序可能不支持通配符证书或可能需要其他配置。在某些情况下可能会出现兼容性问题。

   
   

4. 过度使用的风险

   对太多子域使用通配符证书的诱惑，如果私钥被泄露，可能会增加风险。必须将通配符证书的使用限制为仅那些真正需要它的子域。

   
   

3. 证书吊销

   撤销通配符证书可能比撤销单个证书更复杂。撤销通常适用于整个通配符域，影响所有子域。

   
   

通配符证书策略建议

通配符证书是保护企业级组织内多个子域的便捷解决方案。然而，它们也带来了某些安全和管理挑战。以下是企业级组织在其环境中实施通配符证书时应考虑的一些策略：

• 审批流程

  建立请求、验证和批准通配符证书请求的流程。必须使用例外流程来请求通配符证书，这意味着请求通配符证书不是组织内获取证书的标准做法或默认方式；它必须遵循例外流程，例如领导层（董事、副总裁）的批准。

  
  

• 识别子域

  标识通配符证书将覆盖的所有子域。确定必须保护哪些子域并确保它们遵守组织的命名约定。

  
  

• 证书管理政策

  在“证书政策 (CP)”和“证书实践声明 (CPS)”中为通配符证书的颁发、续订和撤销制定明确的政策。指定谁负责管理证书。

  
  

• 子域命名约定

  为通配符证书将保护的子域建立明确的命名约定。这有助于确保证书管理的一致性和清晰度。

  
  

• 提供准确的信息

  确保在证书颁发过程中提供的所有信息都是准确的、最新的，并且应包括用于证书的所有端点。这包括证书的正确命名约定（根据组织首选项和要求）、联系信息、组织详细信息（如果适用）、域所有权信息，并提供请求证书的理由。

  
  

• 密钥管理

  实施强大的密钥管理实践，包括安全生成和存储与通配符证书关联的私钥。定期轮换密钥并更新证书配置（包括证书模板和协议兼容性），以领先于潜在漏洞。

  
  

• 访问控制

  仅授权人员才能访问通配符证书及其私钥。实施严格的访问控制和身份验证机制，以防止未经授权的访问。

  
  

• 证书吊销政策

  定义一个明确的流程，用于在通配符证书被泄露或不再需要时撤销通配符证书。确保立即从所有相关系统中删除已吊销的证书。

  
  

• 库存和文件

  维护组织内使用的所有通配符证书的最新清单。记录证书详细信息，包括到期日期、关联的子域和责任方。

  
  

• 安全存储

  将通配符证书及其私钥存储在安全、离线或硬件安全模块 (HSM/加密机) 保护的环境中。加密并备份证书数据，防止数据丢失。

  
  

• 证书更新流程

  建立及时更新证书的流程，以避免因证书过期而导致服务中断。尽可能自动更新证书，以减少手动错误。

  
  

• 安全意识和培训

  教育员工了解通配符证书安全的重要性以及与处理不当相关的风险。

  
  

• 定期安全评估

  定期进行安全评估和渗透测试，以识别与通配符证书及其使用相关的漏洞。

  
  

• 合规性和行业标准

  确保通配符证书管理实践符合与 OU 相关的行业标准和法规，例如PCI DSS或HIPAA。

  
  

• 通配符证书的使用

  应尽可能避免使用通配符证书。创建一个全面的计划，在续订时逐步减少通配符证书的使用。

  
  

对未来行动的建议

以下建议对于组织未来对通配符证书采取的行动很有用。

• 临时措施

  最大限度地减少有权访问通配符证书的个人，最好将其限制在更少的人员范围内。对私钥和证书的处理实施严格控制，以最高的安全性对待它们。避免电子传输和硬盘存储；相反，请选择安全的物理存储方法，例如存储在安全位置的硬件签名模块 (HSM) 。确保每个证书安装设置为“不可导出”，以防止潜在的泄漏。

  
  

• 中期

  将通配符证书的使用减少到尽可能少的系统数量。尽可能使用命名证书。这意味着了解通配符的安装位置并计划替换它们（如果可能）。

  
  

• 长期战略

  实施一项要求，即所有通配符证书必须仅通过自动化流程生成或更新，且零人员交互。值得注意的是，这种转变需要大量的规划和准备。

  
  

结论

组织应实施强有力的证书管理策略和安全实践 (CP/CPS)，定期审核和监控通配符证书的使用情况，并考虑替代方案，例如对关键子域使用单独的证书或在必要时实施更精细的安全控制。虽然通配符证书可能是一个有价值的工具，但应在组织的整体安全策略中谨慎、安全地使用它们。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• EV SSL 证书：优点和缺点

• 较短证书有效期的优点：证书自动化的好处

• 顶级软件供应链攻击：代码签名面临风险