通配符SSL证书有哪些不可忽视的优点？

如果用户使用浏览器访问的网站启用了https协议，则浏览器就开启了SSL证书的验证流程，主要有如下9个方面的验证，各个浏览器的验证项都有所不同，但是主流浏览器基本上都会验证前5项。

1

验证SSL证书绑定的域名是否正确

浏览器使用https协议同Web服务器握手时，首先会从服务器返回的SSL证书中解析出证书绑定的域名，如果SSL证书绑定的域名同用户请求连接的网址不一致，则浏览器提示不安全并终止连接。如下上图所示，本地host解析www.boc.cn到另一个网站: sm2test.cersign.cn 的IP地址上，浏览器会提示不安全，具体错误信息是：ERR_CERT_COMMON_NAME_INVALID (域名不匹配)，因为此网站部署的SSL证书绑定的域名不是www.boc.cn而是sm2test.cersign.cn，如下下图所示，这就有效地保护了用户不会被假冒银行的网站所欺骗。

但是，目前的各种APP(包括微信)连接https服务时不判断域名是否匹配就稀里糊涂的与之连接，这会导致用户在假冒的银行网站输入的银行卡密码！域名不匹配绝大多数是遭遇了DNS攻击指向了假冒网站，而不判断域名是否匹配的问题就让攻击者轻松得到了用户的银行卡密码。但是，如果APP能像浏览器一样实时验证正在连接的Web服务器的SSL证书中绑定的域名是否匹配的话就能防范这类攻击。各种APP同浏览器一样都是上网客户端软件，都应该学习浏览器是如何正确验证SSL证书的，这是笔者讲浏览器是如何验证SSL证书的主要目的。

2

验证SSL证书是否可信

浏览器在验证了证书绑定的域名同用户访问的域名一致后，就要验证SSL证书是否是浏览器信任的证书。浏览器使用https协议同Web服务器握手时就获得了网站部署的SSL证书和证书链，首先验证SSL证书是否是所声称的中级根证书签发，如果是则继续验证中级根证书的签发者是谁，一般就是浏览器信任的顶级根证书，如果是已经预置信任的某个顶级根证书签发的中级根证书，则表明证书链可信。但这时候浏览器不会马上显示加密锁标识，还需要做其他判断。

如果签发SSL证书的根证书不是浏览器信任的，则浏览器会提示不安全，具体错误信息是：ERR_CERT_AUTHORITY_INVALID (根证书不受信任)。但是，这个必须验证证书是否可信的步骤很多APP也没有做到，后果非常严重，因为假冒银行网站可以自签一张绑定正确的网银网址的SSL证书，如果APP不验证SSL证书是否是操作系统信任的证书，或者验证是否是APP信任的SSL证书，则一样可能会遭遇DNS劫持后的中间人攻击。安全的做法是不仅要验证SSL证书是操作系统信任的证书，而且应该验证证书是否是由本单位指定的CA机构的中级根证书签发，以防止可能的从操作系统信任的其他CA非法获得的绑定服务器域名的证书的恶意攻击。而对于一些重要的系统，如政务APP、支付APP，笔者推荐定制本单位专用中级根证书来为这些系统签发SSL证书，这样就能做到APP只信任本单位专用中级根证书签发的SSL证书，只有这样才能做到万无一失。