通配符證書提高了靈活性和多功能性，提供了一個(gè)有價(jià)值的選擇，可幫助您的企業(yè)降低成本、提供高效加密并提高可擴(kuò)展性。本文將解釋什么是通配符證書、它們的工作原理以及使用此類 SSL 證書的好處和潛在的安全風(fēng)險(xiǎn)。

什么是通配符證書？

通配符SSL 證書是一個(gè)單一的 SSL/TLS 證書，可以顯著節(jié)省時(shí)間和成本，特別是對(duì)于小型企業(yè)。該證書在域名字段中包含一個(gè)通配符（*），可以保護(hù)主域的多個(gè)子域。

通配符證書如何工作？

通配符 SSL 證書涵蓋所有子域名，而不是使用多個(gè)證書來(lái)保護(hù)您的企業(yè)的互聯(lián)網(wǎng)流量。例如，“*.google.com”的單一通配符證書可用于保護(hù)“www.google.com”、“mail.google.com”和“calendar.google.com”。

通配符證書分為兩大類：

• 域驗(yàn)證 (DV) 證書可以在購(gòu)買后快速交付，但您必須證明您擁有該域。
• 組織驗(yàn)證 (OV) 證書只能由注冊(cè)企業(yè)使用，您的公司信息將放在證書中。但是，您必須通過(guò)審查程序才能獲得批準(zhǔn)。

通配符 SSL 證書包含一個(gè)私鑰，該私鑰在所有子域之間共享。在創(chuàng)建證書期間發(fā)出證書簽名請(qǐng)求 (CSR) 時(shí)會(huì)生成私鑰。如果使用多臺(tái)服務(wù)器，您將需要在安裝證書時(shí)將私鑰復(fù)制到每臺(tái)服務(wù)器上。

SSL 和通配符 SSL 有什么區(qū)別？

標(biāo)準(zhǔn)和常規(guī)通配符證書都提供重要的加密功能。然而，雖然標(biāo)準(zhǔn)證書適用于單個(gè)域或子域，但通配符證書涵蓋多個(gè)子域——URL 的初始部分在域名之前。

與通配符證書最相似的證書被稱為主題備用名稱 (SAN) 證書或統(tǒng)一通信證書 (UCC)。與僅涵蓋無(wú)限數(shù)量的子域的通配符證書相比，UCC/SAN 證書提供了能力將最多 250 個(gè)域和子域保護(hù)到一個(gè) SSL 證書中（例如，mail.google.com 和 mail.google.co.uk）。這些證書的一個(gè)限制是您必須在購(gòu)買證書時(shí)列出所有域/子域。但是，您可以在任何階段使用通配符修改這些內(nèi)容。

通配符 SSL 專家

通配符 SSL 證書可以輕松保護(hù)多個(gè)子域，從而提高企業(yè)的生產(chǎn)力和效率。例如，通配符提供了根據(jù)需要添加子域的靈活性，最大限度地減少了管理時(shí)間，并允許您制定更靈活的 IT 策略。通配符 SSL 也比為每個(gè)子域購(gòu)買單獨(dú)的證書更具成本效益。相反，單個(gè)證書可用于無(wú)限數(shù)量的子域。

通配符證書的另一個(gè)優(yōu)點(diǎn)是它們可以在多個(gè)服務(wù)器上使用。例如，如果您計(jì)劃將您的電子郵件子域保留在一臺(tái)服務(wù)器上，而將您的主要面向公眾的網(wǎng)站保留在另一臺(tái)服務(wù)器上，則可以使用相同的通配符 SSL 來(lái)實(shí)現(xiàn)。

通配符 SSL 缺點(diǎn)

使用通配符證書幾乎沒有缺點(diǎn)，但主要缺點(diǎn)是安全性。雖然 SSL 證書提供高級(jí)別加密（使用 HTTPS 保護(hù)網(wǎng)站），但單個(gè)證書意味著多個(gè)子域只有一個(gè)入口點(diǎn)。這可能會(huì)帶來(lái)欺騙攻擊的風(fēng)險(xiǎn)，黑客會(huì)訪問(wèn)機(jī)密數(shù)據(jù)、傳播有害惡意軟件或操縱現(xiàn)有操作。

在選擇證書時(shí)，服務(wù)器安全應(yīng)該是一個(gè)關(guān)鍵的考慮因素。如果使用多個(gè)服務(wù)器，這可能會(huì)給現(xiàn)有的安全實(shí)踐帶來(lái)進(jìn)一步的壓力。安裝證書需要將證書文件復(fù)制到服務(wù)器，然后將私鑰從主服務(wù)器復(fù)制到所有其他服務(wù)器。因?yàn)檫@涉及極其微妙和有價(jià)值的信息的物理移動(dòng)，它打開了其他攻擊途徑——服務(wù)器連接的安全性，以及服務(wù)器維護(hù)和允許訪問(wèn)的工作實(shí)踐都面臨更大的壓力。

涉及的人越多——從管理域的個(gè)人（IT 主管）到注冊(cè)商（組織）——受到攻擊的風(fēng)險(xiǎn)就越大。如果私鑰被泄露，所有使用通配符的子域也將被泄露，因?yàn)樽C書可能安裝在組織外部的其他服務(wù)器上。

最后，不能在所有驗(yàn)證級(jí)別使用通配符證書。雖然它們可以在域驗(yàn)證 (DV) 和組織驗(yàn)證 (OV) 級(jí)別自由使用，但不能用于擴(kuò)展驗(yàn)證 (EV)。在這種情況下，部署單個(gè)證書或多域證書將是有益的。