您当前的位置:   首页 > 新闻中心
通配符证书——危险还是更容易使用?
发布时间:2022-01-12 08:25:58   阅读次数:

image.png

什么是通配符证书(Wildcard Certificate)?

一个通配符证书(如SSL / TLS)是一种可以保护几个子域的域里面,通常是从一个值得信赖的公众获取的公钥证书的证书颁发机构(CA) 。


您网站的多个子域可以使您的业务受益,但它们也可能难以管理。用于保护这些子域的多个SSL/TLS 证书增加了它们的复杂性,但通配符证书可以有效地解决这个问题。


与为您的子域管理单个证书相比,通配符证书可以节省您的时间和金钱。


域名以星号和通配符表示的句点为前缀。通配符经常在安全套接层 (SSL) 证书中使用,以将 SSL 加密扩展到子域。传统 SSL 证书仅对单个域有效,例如 www.domain.com。*.domain.com 通配符证书还将保护 cloud.domain.com、shop.domain.com、mobile.domain.com 和其他域。


为什么要使用通配符证书?

通配符证书更易于使用,因为它们允许组织对所有子域使用单个证书。 


以下是使用通配符证书的一些优点:

  • 保护任意数量的子域:无需为每个子域使用不同的 SSL 证书,单个通配符 SSL 证书可以覆盖任意数量的子域。

  • 简单的证书管理:必须部署和适当管理单独的 SSL 证书,以保护越来越多的面向公众的域、云工作负载和设备。但是通过使用单个通配符证书,您可以管理无限的域,从而使证书管理更简单。

  • 削减成本:通配符证书的成本高于普通 SSL 证书,但与保护所有子域(每个子域都有自己的证书)的总成本相比,它成为一种具有成本效益的替代方案。

  • 快速灵活的实施:通配符证书是在现有证书可以覆盖的新子域上构建新站点的好方法。无需等待新的 SSL 证书,这可以节省您的组织时间并加快您的上市时间。


通配符证书的潜在安全风险

当通配符证书在不同服务器上托管的多个子域中重复使用时,SSL/TLS 证书提供的保护会带来额外的安全问题。如果其中一台服务器遭到破坏,攻击者将破坏证书。如果是这种情况,则到使用证书的每个站点的流量的机密性和完整性都会受到威胁。获得证书的攻击者将能够解密、读取、修改和重新加密流量。这很可能导致敏感信息的暴露和进一步的针对性攻击。


通配符证书经常用于覆盖具有相同注册根的所有域,从而使管理变得简单。但是,由于在多个系统中使用相同的私钥,使用通配符证书带来的自由也带来了严重的安全风险:

  • 访问私钥:如果通配符证书的私钥被泄露,黑客可以冒充通配符证书的任何域。

  • 伪造证书:攻击者可以欺骗证书颁发机构 (CA) 为伪造的组织颁发通配符证书。一旦攻击者获得虚构公司的通配符证书,他们就可以设置子域和网络钓鱼站点。

  • 证书管理:如果通配符证书被吊销,所有子域都将需要新证书。

  • 网络服务器安全:如果一台服务器或子域被黑,所有子域也可能被黑。

  • 单点故障:通配符证书的私钥是完全妥协的单点。如果该密钥被泄露,与证书中列出的所有服务器和子域的所有安全连接都将被泄露。


如果组织没有足够的安全、控制或监控,攻击者很容易滥用通配符证书。


使用通配符证书时要考虑的策略

  • 将通配符证书的使用限制在特定目的,以实现更好的安全控制。

  • 与安全团队和领导层就使用通配符证书的目的进行了详细讨论。

  • 了解安全风险。

  • 这个决定对您的组织是否更有效?

  • 您是否打算使用通配符证书来节省时间?

  • 你想省钱吗?

    • 在您的环境中保持准确和最新的证书清单,其中包括记录密钥长度、哈希算法、证书到期、证书位置和证书所有者。

    • 确保按照行业最佳实践(即使用经过认证的HSM)存储和保护私钥。

    • 自动执行证书续订、吊销和配置流程,以防止意外过期和中断。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609