通配符SSL证书有哪些不可忽视的优点?
原标题:通配符SSL证书有哪些不可忽视的优点?
随着网站的数量和复杂性不断增长,保护多个子域名的安全性变得至关重要。为了解决这个问题,通配符SSL证书应运而生。通配符SSL证书可以为同一域名下的多个子域名提供安全保护,并在一定程度上简化了证书的管理。安信证书将探讨通配符SSL证书的优缺点,以帮助您更好地了解它们的应用和适用范围。
通配符SSL证书可以为同一域名下一级的多个子域名提供保护,而无需为每个子域名单独购买和管理独立的证书。这简化了证书的安装、续期和更新等管理任务,减少了管理工作的复杂性和时间成本。
相比购买独立的SSL证书,使用通配符SSL证书可以更经济高效地保护多个子域名。通配符SSL证书的成本通常比购买多个单独的SSL证书要低廉,这对于拥有大量子域名的网站来说是非常有吸引力的。
通配符SSL证书适用于同一级别的子域名,这种灵活性使得通配符SSL证书成为管理复杂域名结构的理想选择。
然而,通配符SSL证书也存在一定的缺陷。由于通配符SSL证书的特性,一旦私钥被泄露,攻击者可能能够对同一域名下的所有子域名进行攻击。因此,通配符SSL证书的安全性高度依赖于私钥的保护。必须采取严格的安全措施来确保私钥的保密性。通配符SSL证书只能用于同一域名下一级的子域名,无法用于不同域名之间的子域名。如果网站具有多个独立域名,建议大家购买多域名SSL证书。
通配符SSL证书为保护多个子域名提供了便利和经济性。通过简化证书管理、降低成本和提供灵活性,通配符SSL证书成为许多企业和网站的首选。然而,必须注意私钥的安全性以及应用范围的限制。在选择是否使用通配符SSL证书时,应当评估自己的需求并权衡这些优缺点,以确保选择最适合网站的安全解决方案。
-
上一篇
如果用户使用浏览器访问的网站启用了https协议,则浏览器就开启了SSL证书的验证流程,主要有如下9个方面的验证,各个浏览器的验证项都有所不同,但是主流浏览器基本上都会验证前5项。
1
验证SSL证书绑定的域名是否正确
浏览器使用https协议同Web服务器握手时,首先会从服务器返回的SSL证书中解析出证书绑定的域名,如果SSL证书绑定的域名同用户请求连接的网址不一致,则浏览器提示不安全并终止连接。如下上图所示,本地host解析www.boc.cn到另一个网站: sm2test.cersign.cn 的IP地址上,浏览器会提示不安全,具体错误信息是:ERR_CERT_COMMON_NAME_INVALID (域名不匹配),因为此网站部署的SSL证书绑定的域名不是www.boc.cn而是sm2test.cersign.cn,如下下图所示,这就有效地保护了用户不会被假冒银行的网站所欺骗。
但是,目前的各种APP(包括微信)连接https服务时不判断域名是否匹配就稀里糊涂的与之连接,这会导致用户在假冒的银行网站输入的银行卡密码!域名不匹配绝大多数是遭遇了DNS攻击指向了假冒网站,而不判断域名是否匹配的问题就让攻击者轻松得到了用户的银行卡密码。但是,如果APP能像浏览器一样实时验证正在连接的Web服务器的SSL证书中绑定的域名是否匹配的话就能防范这类攻击。各种APP同浏览器一样都是上网客户端软件,都应该学习浏览器是如何正确验证SSL证书的,这是笔者讲浏览器是如何验证SSL证书的主要目的。
2
验证SSL证书是否可信
浏览器在验证了证书绑定的域名同用户访问的域名一致后,就要验证SSL证书是否是浏览器信任的证书。浏览器使用https协议同Web服务器握手时就获得了网站部署的SSL证书和证书链,首先验证SSL证书是否是所声称的中级根证书签发,如果是则继续验证中级根证书的签发者是谁,一般就是浏览器信任的顶级根证书,如果是已经预置信任的某个顶级根证书签发的中级根证书,则表明证书链可信。但这时候浏览器不会马上显示加密锁标识,还需要做其他判断。
如果签发SSL证书的根证书不是浏览器信任的,则浏览器会提示不安全,具体错误信息是:ERR_CERT_AUTHORITY_INVALID (根证书不受信任)。但是,这个必须验证证书是否可信的步骤很多APP也没有做到,后果非常严重,因为假冒银行网站可以自签一张绑定正确的网银网址的SSL证书,如果APP不验证SSL证书是否是操作系统信任的证书,或者验证是否是APP信任的SSL证书,则一样可能会遭遇DNS劫持后的中间人攻击。安全的做法是不仅要验证SSL证书是操作系统信任的证书,而且应该验证证书是否是由本单位指定的CA机构的中级根证书签发,以防止可能的从操作系统信任的其他CA非法获得的绑定服务器域名的证书的恶意攻击。而对于一些重要的系统,如政务APP、支付APP,笔者推荐定制本单位专用中级根证书来为这些系统签发SSL证书,这样就能做到APP只信任本单位专用中级根证书签发的SSL证书,只有这样才能做到万无一失。
密码讲堂第7讲浏览器是如何验证SSL证书的?
前几讲都在讲SSL证书,这一讲讲一讲浏览器是如何验证SSL证书的,浏览器在CA/浏览器论坛中被定义为SSL证书的Consumer(消费者),什么是消费者?消费者
-
下一篇
SSL证书采购方法,经典文章必看
事企业单位采购SSL证书,主要已公开招标或独立询价筛选的方式采购。公开招标是将自己的寻求发布在招标网站,其中要说明:SSL证书类型,认证级别,信任要求为主要条件