Установка SSL: UCC или Wildcard-сертификаты?
Один из показателей производительности, которые Вы заметите от летучей мыши, является потреблением поршня. При высокой загрузке посетителя апач ест много поршня, где lighttpd не будет.
Во-первых, сертификат SAN = сертификаты UCC. Они - оба просто сертификаты с полем SubjectAltName.
Во-вторых, подстановочный знак ..domain.com не будет работать в большинстве браузеров. Необходимо будет или получить два Wildcard-сертификата (один для *.sandbox.domain.com и один для *.domain.com) или получить Wildcard-сертификат для *.domain.com и сделать, чтобы поставщик SSL поместил определенный SubjectAltName ja.sandbox.domain.com. Я думаю, DigiCert и GlobalSign предлагают это.
-
1Спасибо Robert - you' абсолютно правильное ре. Я закончил тем, что получил два сертификата - один для субдомена, другого для sub-sub домена. Я должен также отметить, кажется, что некоторые поставщики SSL включают корневой домен в SAN как дополнение, в то время как другие не делают (в этом случае you' d должен зарегистрировать другой сертификат). GoDaddy, например, включает " домен com" в SAN при покупке подстановочного сертификата *.domain.com, но RapidSSL не делает. – 27 April 2010 в 08:18
Согласно http://ssl.com определенно технически возможно объединить UCC и групповые сертификаты. По сути, они рекомендуют использовать сертификат UCC с одним альтернативным именем субъекта, содержащим ваш подстановочный знак: * .domain.com - они отмечают, что вам нужно будет доплатить, чтобы иметь подстановочные знаки в UCC.
Чтобы охватить неограниченное количество поддоменов, просто создайте домены с подстановочными знаками (например, * .sitename.com) в поле общего имени или в качестве SAN (альтернативное имя субъекта) при покупке UCC ... Вы даже можете поместить другие подстановочные знаки в поля SAN, например * .sub1.sitename.com
Просто создайте домены с подстановочными знаками (например, * .sitename.com) в поле общего имени и / или как SANS (альтернативные имена субъектов ) при покупке (или создании) UCC. Большинство центров сертификации будут взимать с вас плату за каждый домен с подстановочными знаками как за стандартный сертификат с подстановочными знаками.
Comodo, например, отмечает при покупке сертификата UCC, что:
Домены с подстановочными знаками могут быть добавлены в UCC за дополнительную плату в размере 399,00 долларов США за домен.
Let's Encrypt
Судя по доскам обсуждений http://LetsEncrypt.com , кажется, что это возможность также может быть включена, когда она будет доступна позже в 2015 г.
Главное, что нужно помнить:
- UCC/SANы могут включать LOT записей (до 2000 для некоторых центров сертификации)
- UCC из большинства CAs действительно могут включать wildcards (IIRC GoDaddy не разрешает использование шаблонов в UCCs)
- Wildcards, добавленные в UCCs, будут стоить дорого, но могут быть дешевле, чем отдельный wildcard cert (например, ssl. com взимает $299 за отдельную подстановочную карту, но $258 за подстановочный символ, включенный в UCC)
- Большинство CAs позволяют вам вырезать и изменять ваши UCC-записи (так называемый "переиздание" cert) в течение срока действия этого cert'а, если вам нужно добавить/удалить/изменить домены, и обычно за это не взимается дополнительная плата (опять же, YMMV - SSL. com/Comodo/namecheap дают бесплатные переиздания, GoDaddy хочет, чтобы Вы купили новую UCC для добавления имен)
Так что это зависит от многих факторов, но одна UCC, которая включает в себя все Ваши доменные имена (включая подстановочные знаки), может быть лучшим решением/более простым в управлении, чем куча различных сертификатов.
(Также, просто FYI - похоже, что Let's Encrypt в настоящее время не настроен на работу со спецсимволами )
.