一个通配符证书(如SSL / TLS)是一种可以保护几个子域的域里面,通常是从一个值得信赖的公众获取的公钥证书的证书颁发机构(CA) 。
您网站的多个子域可以使您的业务受益,但它们也可能难以管理。用于保护这些子域的多个SSL/TLS 证书增加了它们的复杂性,但通配符证书可以有效地解决这个问题。
与为您的子域管理单个证书相比,通配符证书可以节省您的时间和金钱。
域名以星号和通配符表示的句点为前缀。通配符经常在安全套接层 (SSL) 证书中使用,以将 SSL 加密扩展到子域。传统 SSL 证书仅对单个域有效,例如 www.domain.com。*.domain.com 通配符证书还将保护 cloud.domain.com、shop.domain.com、mobile.domain.com 和其他域。
通配符证书更易于使用,因为它们允许组织对所有子域使用单个证书。
以下是使用通配符证书的一些优点:
保护任意数量的子域:无需为每个子域使用不同的 SSL 证书,单个通配符 SSL 证书可以覆盖任意数量的子域。
简单的证书管理:必须部署和适当管理单独的 SSL 证书,以保护越来越多的面向公众的域、云工作负载和设备。但是通过使用单个通配符证书,您可以管理无限的域,从而使证书管理更简单。
削减成本:通配符证书的成本高于普通 SSL 证书,但与保护所有子域(每个子域都有自己的证书)的总成本相比,它成为一种具有成本效益的替代方案。
快速灵活的实施:通配符证书是在现有证书可以覆盖的新子域上构建新站点的好方法。无需等待新的 SSL 证书,这可以节省您的组织时间并加快您的上市时间。
当通配符证书在不同服务器上托管的多个子域中重复使用时,SSL/TLS 证书提供的保护会带来额外的安全问题。如果其中一台服务器遭到破坏,攻击者将破坏证书。如果是这种情况,则到使用证书的每个站点的流量的机密性和完整性都会受到威胁。获得证书的攻击者将能够解密、读取、修改和重新加密流量。这很可能导致敏感信息的暴露和进一步的针对性攻击。
通配符证书经常用于覆盖具有相同注册根的所有域,从而使管理变得简单。但是,由于在多个系统中使用相同的私钥,使用通配符证书带来的自由也带来了严重的安全风险:
访问私钥:如果通配符证书的私钥被泄露,黑客可以冒充通配符证书的任何域。
伪造证书:攻击者可以欺骗证书颁发机构 (CA) 为伪造的组织颁发通配符证书。一旦攻击者获得虚构公司的通配符证书,他们就可以设置子域和网络钓鱼站点。
证书管理:如果通配符证书被吊销,所有子域都将需要新证书。
网络服务器安全:如果一台服务器或子域被黑,所有子域也可能被黑。
单点故障:通配符证书的私钥是完全妥协的单点。如果该密钥被泄露,与证书中列出的所有服务器和子域的所有安全连接都将被泄露。
如果组织没有足够的安全、控制或监控,攻击者很容易滥用通配符证书。
将通配符证书的使用限制在特定目的,以实现更好的安全控制。
与安全团队和领导层就使用通配符证书的目的进行了详细讨论。
了解安全风险。
这个决定对您的组织是否更有效?
您是否打算使用通配符证书来节省时间?
你想省钱吗?
在您的环境中保持准确和最新的证书清单,其中包括记录密钥长度、哈希算法、证书到期、证书位置和证书所有者。
确保按照行业最佳实践(即使用经过认证的HSM)存储和保护私钥。
自动执行证书续订、吊销和配置流程,以防止意外过期和中断。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!