Требуется ли SSL с подстановочными знаками для одного поддомена?
Типичный сертификат SSL иногда основан на общем имени для домена (domain.com) (www. domain.com).
Я понимаю, для чего используется шаблонный сертификат (* .domain.com), и он должен / должен проверять все поддомены для этого домена.
Если я хочу иметь один субдомен с сертификатом SSL (mail.domain.com), Подстановочный сертификат - это только вариант ? Или можно использовать стандартный сертификат SSL, выданный для этого единственного поддомена?
Я не спрашиваю о передовых методах или причинах, по которым «действительно следует использовать сертификат с подстановочными знаками». С технической точки зрения я спрашиваю, можно ли защитить отдельный поддомен с помощью сертификата, подтвержденного доменом SSL, который НЕ является подстановочным знаком.
Вы можете использовать выданный сертификат SSL только для mail.domain.com без проблем. Самым большим преимуществом шаблонных сертификатов является то, что существует только «один сертификат, чтобы управлять ими всеми» - вам не нужно управлять десятками сертификатов.
Если у вас есть домен "domain.com", вы также можете запросить сертификат для mail.domain.com. Вам просто нужно будет подтвердить свое право собственности на корневой домен.
Oes, gallwch gael tystysgrif sy'n cynnwys is-barth penodol yn unig. Gallwch hefyd gael tystysgrif sy'n cynnwys mwy nag un is-barth heb fod yn gerdyn gwyllt.
Byddwch yn ymwybodol bod SSL / TLS yn draddodiadol yn caniatáu un dystysgrif yn unig i bob cyfuniad IP / porthladd.Mae yna estyniad o'r enw SNI sy'n trwsio hynny ond mae yna rai cleientiaid hŷn o hyd nad ydyn nhw'n ei gefnogi (archwiliwr rhyngrwyd yn fwyaf nodedig ar windows XP).
Roeddwn ychydig yn ddryslyd ynghylch y cwestiwn ar y dechrau, gan y credir yn gyffredinol bod tystysgrifau'n darparu ar gyfer un pwnc yn unig yn yr achos nodweddiadol. Onid yw sicrhau un cofnod dns (/ is-barth, gweler adran 3) gyda thystysgrif wedi'i dilysu gan barth SSL NAD yw'n gerdyn gwyllt yr achos safonol ar gyfer gwefan?
Yn syml, gallwch ac fe ddylech. sicrhewch yr is-barth mail.domain.com gydag un dystysgrif nad yw'n gerdyn gwyllt os yw'n llinyn cysylltiad ar gyfer adnodd ei hun, ond ni ddylech ddisgwyl i gofnodion yn yr is-barth hwn gael eu cynnwys yn yr un dystysgrif hefyd.
Mae'r ateb derbyniol cyfredol yn rhoi ateb da a chryno i'r achos cyffredinol, ond gallai gyflwyno cafeatau annisgwyl wrth argymell tystysgrif cerdyn gwyllt. Felly dim ond er mwyn atal camddealltwriaeth a allai fod yn beryglus ynghylch yr hyn y gall ac na all tystysgrifau endid endid [114711] o wahanol fathau ei wneud ac na allaf ei wneud, hoffwn fynd i ychydig mwy o ddyfnder, gan ddadelfennu ar draws tair adran:
- Y dewis cerdyn gwyllt / heb fod yn wyllt
- Sut mae'r enw ar y dystysgrif yn ymwneud â'r hyn y gallwch ei gyflwyno
- Beth mae is-barth yn ei olygu yng nghyd-destun y cwestiwn.
Adran 1: Cerdyn Gwyllt yn erbyn Cerdyn Gwyllt
- Prisio: Dyma'r un cyntaf rydw i eisiau sôn amdano. Tâl CA masnachol ~ 3-5 gwaith cymaint am dystysgrif cerdyn gwyllt yn erbyn tystysgrif safonol. Er enghraifft, ar adeg ysgrifennu, y gost am dystysgrif safle ddiogel safonol blwyddyn o Symantec (oedd VeriSign) yw $ 399. Y gost am dystysgrif cerdyn gwyllt blwyddyn yw $ 1,999 (~ safon x5). Gellir defnyddio tystysgrifau safle diogel Symantec (yr opsiwn rhatach) gydag Enwau Amgen Pwnc (SANs), sy'n golygu cyn belled â'ch bod chi'n gwybod yr enwau DNS sy'n wynebu'r cyhoedd rydych chi'n eu defnyddio ac y byddwch chi'n mynd i fod gan ddefnyddio ar gyfer y flwyddyn nesaf, nid oes angen tystysgrif cerdyn gwyllt arnoch hyd yn oed ar gyfer gwefannau lluosog neu bwyntiau cysylltu diogel.
Cwmpas yr amlygiad posibl: Fel y soniwyd mewn sylw uchod, mae gwahanol lefelau o amlygiad os yw'r allwedd breifat yn gollwng. Gyda thystysgrif ar gyfer un gweinydd gwe, gall yr ymosodwr ddynwared y gweinydd hwnnw yn unig. Ar gyfer un wefan, dim ond y gweinyddwyr y mae enw'r wefan yn eu datrys hefyd (gweler adran 2 - paru enw pwnc). Gan ddefnyddio fy enwau sy'n wynebu'r cyhoedd yn llwyr ar un syniad tystysgrif SAN uchod, gallant ddynwared eich holl wefannau sy'n wynebu'r cyhoedd. Gyda thystysgrif cerdyn gwyllt, gallant ddynwared unrhyw beth a honni ei fod yn dod o'ch parth. Mae dadleuon diogelwch yn erbyn tystysgrifau cardiau gwyllt wedi'u cyflwyno yng Nghofnodion RFC . . Felly bydd unrhyw ddatrysiad tystysgrif ynghlwm wrth mail.domain.com yn gweithio, hyd yn oed os yw'n cynnwys CNAMES neu ddatrysiad i gyfeiriadau IP lluosog, ond ee. NI fydd smtp.mail.domain.com (neu mewn defnydd mwy nodweddiadol (cudd) yn gweithio oni bai eu bod wedi'u ffurfweddu fel SANs. Yn yr achos hwn byddai tystysgrif cerdyn gwyllt * .mail.domain.com yn gweithio i smtp.mail.domain. com (a gyda'n enghraifft bost ddiogel yn rhagdybio id-pkix 3 4 a chi yn ffurfweddu cerdyn gwyllt S / MIME â llaw.
Prawf yn y Dyfodol: Dyma lle mae'r rhan fwyaf o'r argymhellion i fynd o gerdyn gwyllt yn unig yn dod. Gyda thystysgrif cerdyn gwyllt ar gyfer eich prif barth DNS 'domain.com', gallwch gynnal unrhyw nifer o wefannau o dan domain.com,hyd yn oed rhai nad oeddech yn gwybod eich bod eu hangen pan ofynasoch am y dystysgrif. Nid oes angen i chi boeni byth am wirio bod y dystysgrif a gyflwynir yn cyd-fynd ag enw'r wefan, oherwydd bydd bob amser yn cyfateb.
Cynllunio: O ran y pwyntiau ar brawfesur yn y dyfodol, nodwch, gyda thystysgrif aml-SAN, fod rhwyddineb rheoli yr un peth cyn belled â'ch bod wedi cynnwys eich holl wefannau cyfredol ac arfaethedig yn y dyfodol. Mae gennych chi ddwsinau o enwau i weithio gyda nhw, felly gallwch chi hyd yn oed ychwanegu enwau DNS nad ydych chi'n bwriadu eu defnyddio ond rydych chi'n meddwl y gallai'r sefydliad eu defnyddio o bosib. Hyd yn oed os ydych chi'n dirwyn i ben angen enw nad oeddech chi'n cynllunio ar ei gyfer hanner ffordd trwy'r flwyddyn, mae prynu tystysgrif aml-SAN arall wedi gadael i chi wario, yn fwyaf tebygol, llai na hanner yr hyn y mae tystysgrif cerdyn gwyllt yn ei gostio.
Cyfyngiadau cardiau gwyllt: O ystyried maint y gwahaniaeth mewn prisiau, nid wyf yn siŵr y bach mae gorbenion rheoli ar gyfer mynd heb fod yn gerdyn gwyllt yn werth cost tystysgrif cerdyn gwyllt oni bai eich bod yn sefydliad mawr gyda dwsinau i gannoedd o enwau DNS sy'n wynebu'r cyhoedd i'w sicrhau. Cadwch hefyd mewn golwg dim ond un lefel y mae'r cerdyn gwyllt yn cyfateb yn yr heirarchaeth DNS isod domain.com. Felly os ydych chi eisiau www. *. Fearann.com, bydd angen un newydd arnoch chi tystysgrif yn benodol ar gyfer www. [specificsubdomain] .domain.com neu SAN ar y dystysgrif cerdyn gwyllt ar gyfer *. *. domain.com neu www. *. domain.com. Sylwch fod CAs yn aml yn amharod / byddant yn gwrthod ychwanegu SANs at a tystysgrif cerdyn gwyllt.
Adran 2: Paru Enw Pwnc
Un peth i'w gadw mewn cof yw dilysu yn seiliedig ar y llinyn pwnc ar y cleient sy'n cyfateb i'r hyn a honnir yn y dystysgrif. Ar gyfer porwr gwe, dyma'r data a gofnodwyd yn y bar cyfeiriadau i gyrraedd y dudalen. Ar gyfer cleient e-bost, roedd y yn cynrychioli cyfeiriad e-bost ffynhonnell , ac yn y blaen ar gyfer gwahanol fathau o gleientiaid a defnydd tystysgrifau.
Felly ar gyfer tystysgrif gweinydd gwe, os oes gennyf hwn yn DNS:
www. otherdomain.org A 172.16.254.1
Ond mae hyn yn y ffeil gwesteiwr ar beiriant penodol:
172.16.254.1 mail.domain.org
Bydd gan y peiriant penodol hwnnw enw pwnc sy'n cyfateb â gweinydd sy'n cyflwyno tystysgrif ar gyfer mail.domain.org ar weinydd 172.16.254.1, ond bydd cleientiaid sy'n cyrraedd 172.16.254.1 trwy edrych DNS i www.otherdomain.org yn cael camgymhariad enw pwnc ar gyfer yr un dystysgrif. Os byddaf wedyn yn ychwanegu'r CNAME hwn yn DNS:
mail.domain.org CNAME www.otherdomain.org
A gofyn i bob un o'm cleientiaid fynd i mail.domain.org yn eu porwr yn lle www.otherdomain.org , bydd y dystysgrif nawr yn rhoi'r gorau i gyflwyno camgymhariad enw tystysgrif i'r cleientiaid hyn. Mae hyn oherwydd bod y penderfyniad DNS yn anhryloyw i'r porwr.
Adran 3: Terminoleg DNS
Rwyf am dynnu sylw hefyd y gall y derminoleg hon fod ychydig yn ddryslyd, pan soniwch am 'is-barth' mae fy nghasgliad yn llawn -on barth, o dan eich rhiant barth / parth lle mae gweinyddwyr eich prif enw yn eistedd, gall fod gan yr is-barth hwn ei weinyddion enw a'i gofnodion israddol islaw hynny.
(Er, yn yr hierarchaeth DNS yn dechnegol, mae popeth ac eithrio'r gwreiddyn yn is-barth, mae tueddiad meddal i weld cofnodion heb unrhyw is-weithwyr yn yr hierarchaeth fel 'nid is-barthau', oherwydd yn gysyniadol maent yn bodloni 'is', ond nid o reidrwydd holl agweddau parth cywir [ '. Er enghraifft ni fyddech yn gyffredinol yn ystyried bod gan gofnod A ymreolaeth weinyddol, er y gallech ychwanegu cofnod gweinydd enw yn ddiweddarach a phoblogi edrychiadau oddi tano. I' Rwy'n ymwybodol nad yw'r duedd hon o reidrwydd yn cyfateb i'r realiti technegol.)
Ar gyfer cofnod sy'n datrys un 'adnodd' (gwefan, gweinydd, gweithfan) byddwn fel arfer naill ai'n defnyddio 'gwefan / gweinydd / gweithfan' yn unig, y generig 'Cofnod DNS', 'cofnod gwesteiwr (A)', neu i gwmpasu'r posibilrwydd o ddewiniaeth CNAME, F5 ac ati, o leiaf '[gwefan / gweinydd / math o adnodd nad yw'n is-barth] Enw Parth Cymwysedig Llawn '(FQDN)