什么是通配符证书?
什么是通配符 SSL 证书? 通配符证书是一种 SSL/TLS 证书,可用于保护多个域(主机),由域名字段中的通配符 (*) 指示。
如果您有很多需要保护的域或子域,这会很有帮助,因为它可以节省您的时间和金钱。 本文将讨论通配符证书、它们的工作原理以及您可能希望避免在您的组织中使用它们的原因。
了解通配符证书
通配符 SSL 证书是可用于多个域子域的数字证书。 通配符证书通常用于具有许多子域的组织。 通配符证书对主域及其所有一级子域有效。
例如,*.http://example.com 的通配符证书可用于 Example Domain、mail.example.com、store.example.com 或 Example Domain 中的任何其他子域名。
通配符证书比标准 SSL/TLS 证书更昂贵,因为它们是具有相同注册根的多域证书。 这使得它们易于配置和管理,而不是为每个域和子域使用多个证书。 然而,这种灵活性伴随着某些安全和操作风险,包括:
- 密钥泄露:如果证书的私钥被泄露,攻击者可以冒充该通配符证书下的任何域。 网络罪犯使用证书托管恶意网站以进行网络钓鱼活动。
- 运营负担:通常,团队不记得他们安装通配符证书的所有位置,因此难以大规模有效地跟踪和管理。
- 停机和中断:当需要更新时,他们需要同时更新证书并将证书提供给所有位置(即,为每个服务器使用 SSL 证书而不是为所有服务器使用一个证书可以减少由以下原因引起的中断和违规的爆炸半径) 私钥泄露)。
如何获取通配符证书
可以从任何证书颁发机构 (CA) 购买通配符证书。 订购通配符证书时,您必须指定主域名(例如 Example Domain)和子域(例如 *.example.com)。 然后 CA 将生成一个证书,该证书可用于保护指定域的所有子域。
通配符证书的好处
为您的网站使用通配符证书有一些好处:
- 节省时间和金钱:如果您有许多域或子域,使用单个通配符证书而不是多个标准证书会更高效且更具成本效益。
- 更高的灵活性:通配符证书提供比标准证书更大的灵活性,因为它们可用于保护多个子域。 如果您将来需要添加或删除子域,这会很有帮助。
使用通配符证书的缺点
对于通配符证书,风险通常大于收益,尤其是当您的组织没有正确的工具和流程来管理证书时:
- 产生安全风险:通配符证书的主要缺点是它们实际上会产生比安全性更大的风险。 通配符证书对所有子域使用单个共享私钥。 因此,如果一个子域遭到破坏,则同一证书上的所有其他子域也容易受到攻击。
- 难以追踪:通配符证书的易用性可能具有欺骗性。 虽然易于分发,但在数十个甚至数百个服务器上跟踪单个通配符 SSL 证书同样具有挑战性,尤其是当它在所有位置同时过期时。
经验教训:通配符证书中断
2018 年 5 月,Fortnite 和 Rocket League 等流行视频游戏的开发商 Epic Games 经历了一次大范围中断,导致数百万玩家无法登录和断开连接。 停电原因? 过期的通配符 SSL 证书。
有问题的证书安装在 AWS 中数百个不同的生产服务中,因此影响广泛。 许多游戏玩家感到沮丧和愤怒,纷纷在社交媒体上表达他们的不满。
这一事件凸显了通配符证书的潜在缺点之一。 由于通配符证书使用单个证书保护多个子域,因此过期的证书可能会导致广泛的中断。
如果您使用的是通配符证书,请跟踪到期日期并及时更新以避免任何潜在问题。 Epic Games 花了五个半小时才从事件中完全恢复过来。 令人难以置信的是,他们将自己的经验细节分享给业内同行,并努力迅速解决问题。
通配符证书:捷径,而非解决方案
通配符证书在大多数情况下是一种捷径而不是解决方案。 如果更新、配置和安装证书的过程是手动且耗时的,那么简单的解决方法是减少需要管理的证书数量。 有道理,对吧? 不总是。
如果您有大量网站托管在少量基础设施上,这可能有意义,但您需要严格控制通配符证书在这些系统中的分发和管理方式。
在开发和测试环境中,您可能需要创建临时子域。 无需经历为这些子域创建和保护单个证书的麻烦(和费用),您可以简单地创建一个通配符证书并根据需要向其中添加临时子域。
但是,在大多数情况下,应避免使用通配符证书。 如果您只是想节省时间和金钱或使用通配符证书作为权宜之计,那么您只是在解决症状,而不是根本问题。 通过适当的监控和自动化,可以减轻证书管理的痛苦,同时还可以避免通配符证书的固有风险。
证书到期和更新
与所有数字证书一样,通配符 SSL 证书也有有效期,需要进行证书管理。 当证书过期时,必须在所有位置更新和替换它。 如果未续订证书,则其保护的网站将无法再通过 HTTPS 访问,并将向访问者显示错误消息。
续订通配符 SSL 证书时,您需要生成新的证书签名请求 (CSR) 并将其提交给您的证书颁发机构 (CA)。 请务必指定您要续订通配符证书,因为 CA 会在生成新证书时考虑这一点。
证书生命周期管理
获得通配符 SSL 证书后,您需要将其安装在您的 Web 服务器(或多个服务器)上并正确配置。 之后,您应该定期监控证书以确保它仍然有效并且是最新的。 此过程称为证书生命周期管理。
证书生命周期自动化
许多企业自动化证书生命周期以简化通配符 SSL 证书的管理。 这可以通过像 Keyfactor Command 这样的解决方案来完成,它可以自动执行 SSL/TLS 证书管理的所有方面,从注册和安装到监控和续订。 此过程称为证书生命周期自动化。
结论
底线:通配符证书在某些情况下很有用,但通常应避免使用。 如果您购买了通配符证书,则必须安全地生成和存储私钥,并且您可以查看安装证书的每个位置,以确保在证书过期之前对其进行更新和替换。