Menggunakan sertifikat wildcard untuk penerapan multi-server

11

Saat ini kami sedang menyebarkan API beta untuk layanan kami dan kami ingin semua permintaan / tanggapan dari API berfungsi lebih dari https. Saya bingung menggunakan sertifikat wildcard untuk kedua apidan wwwurl. Apakah ide yang baik untuk menggunakan sertifikat wildcard untuk keduanya api.example.comdan www.example.com? Apakah ada ketidaknyamanan?

Bagaimana dengan sertifikat 1-server saja? Karena saya menggunakan API saya di n server dengan penyeimbang beban di depan.

https security-certificate licorna
sumber
Sertifikat terikat ke nama domain mereka (atau dalam kasus wildcard, * .domain) - Anda dapat menggunakan satu sertifikat ke puluhan server tanpa masalah. Kami melakukan ini sekarang dengan penyeimbang beban, Anda hanya perlu ingat untuk memperbarui setiap sertifikat di setiap server ketika waktu pembaruan datang.
Mark Henderson

Jawaban:

4

Anda benar, menggunakan sertifikat wildcard adalah ide bagus dalam kasus ini. Ini akan membuat konfigurasi Anda untuk domain terpisah tetap sederhana, dan memastikan bahwa setiap subdomain yang Anda putuskan untuk ditambahkan akan berfungsi.

Ada beberapa kelemahan:
- Domain tingkat atas Anda tidak aman. Seperti dalam, sertifikat tidak baik untuk example.com.
- Mereka sangat mahal, biasanya sekitar $ 1rb.

Adapun sertifikat 1-server saja, tergantung pada perjanjian yang Anda buat saat Anda membeli sertifikat. Beberapa akan memungkinkan sertifikat diinstal pada beberapa server, beberapa tidak akan. Juga, saya tidak tahu bagaimana atau apakah mereka memeriksa bahwa sertifikat hanya diinstal pada satu server. Anda mungkin bisa lolos begitu saja ...

Juga, jika Anda menggunakan penyeimbang beban, saya akan merekomendasikan untuk menginstal sertifikat di sana, jika perangkat keras Anda memungkinkan. Saya tahu seri Cisco CSS memiliki modul perangkat keras khusus yang menangani semua enkripsi dan dekripsi, menghemat pekerjaan untuk server Anda.

Chris Henry
sumber
3
Digicert wildcard SSL adalah 1/2 hingga 1/3 dari harga itu dan fleksibel (multi server menginstal). Kami telah menggunakannya selama beberapa tahun dan telah bekerja dengan baik untuk kami.
JasonBirch
Godaddy.com menjual sertifikat wildcard sekitar $ 200 / tahun. Saya telah menggunakan mereka selama 3 tahun sekarang dan tidak punya masalah dengan browser yang menerimanya.
dragonmantank
Sertifikat Digicert juga akan mengamankan domain basis (yaitu tidak ada subdomain) yang sebagian besar penyedia layanan lain mengharuskan Anda untuk membeli sertifikat tambahan untuk
Gareth
2

Satu-satunya masalah yang saya lihat dengan sertifikat wildcard sejauh ini adalah bahwa mereka tampaknya tidak memiliki dukungan EV. Ini hanya benar-benar masalah jika Anda ingin chrome browser yang keren mengatakan "hei, situs ini secara resmi OK dan diubah". Jika Anda hanya mencari transportasi yang aman dan tidak peduli dengan kepercayaan pembelian pelanggan, lakukan cara yang murah. Atau beli EV untuk server www, dan wildcard untuk API.

JasonBirch
sumber
Saya
setuju