WildCard SSL (SSL WildCard)

Wildcard SSL: tot ce trebuie să știți

Ele sunt numite după caracterul wildcard (asteriscul), în engleză Wildcard, de fapt. Asteriscul este utilizat pentru a defini grupul de subdomenii pentru care se aplică certificatul.

Pentru a simplifica, se poate spune că valoarea asteriscului nu depășește punctul. În același timp, nu este posibil să se utilizeze două sau mai multe asteriscuri: de exemplu, nu este posibil să se certifice.

Un certificat wildcard este un certificat care permite aplicarea nelimitată a SSL la gazdele subdomeniului unui domeniu (FQDN). Recent, aproximativ 40% din emisiile de certificate SSL sunt emise cu certificate SSL Wildcard, ceea ce dovedește că este extrem de eficient.

Motivul pentru care este numit Wildcard se datorează faptului că domeniul certificatului (CN și DNS Name) este în format * .domeniul meu.com. Este un fel de certificat Multi / SAN și este o tehnologie de extensie a standardului internațional RFC X.509. Puteți înțelege că metacaracterele implicite de domeniu și subdomeniu sunt incluse în elementul [Subject Alternative Name-Name DNS] din elementul de vizualizare a detaliilor certificatului din browserul web.

De exemplu: browserul web este de fapt afișat în certificat, este afișat un certificat wildcard. Când vizualizați informațiile despre certificat ale paginii web aplicate, acestea sunt afișate în formatul particular.

Chiar și cu aceste limitări, certificatele Wildcard reprezintă o metodă foarte convenabilă pentru criptarea transmiterii de date a numeroaselor subdomenii.

Certificat digital SSL

Un certificat SSL este un document electronic care garantează comunicarea între un client și un server de către o terță parte. Imediat după ce clientul se conectează la server, acesta transmite aceste informații despre certificat clientului. Clientul efectuează următoarea procedură după verificarea faptului că aceste informații despre certificat sunt de încredere. Avantajele utilizării certificatelor digitale SSL și SSL sunt următoarele.

• Conținutul comunicării poate fi împiedicat să fie expus atacatorilor.

• Este posibil să se stabilească dacă serverul la care se conectează clientul este un server de încredere.

• Puteți preveni alterarea rău intenționată a conținutului comunicării.

   

Cerere de emisie Exemplu de intrare CN (domeniu)

Comodă:

CN: Trebuie să fie același model ca * .example.com sau * .sub2.sub1.sslcert.co.net identificat de numele DNS.

Multi-Wildcard

CN: *. Introduceți FQDN rădăcină example.com ca CN, excluzând marca.

ex) Dacă * .sub.sslcert.co.net este domeniul reprezentativ, introduceți CN sub.sslcert.net

SAN: Domeniile wildcard în format * .example.com și * .sl.sslert.co.net sunt, Intrări suplimentare se fac în timpul etapei de configurare DCV în timpul formularului de cerere.

Note (Atenție la erori)

Deoarece doar pasul poziției afișajului este gazde nelimitate. Formatul .sslcert.co.net nu este posibil. Nu este posibil să se aplice în mai mulți pași, cum ar fi:

Utilizare principală

Când aplicați un Wildcard SSL este mai avantajos pentru reducerea / gestionarea costurilor decât emiterea mai multor subdomenii fiecare-Când subdomeniile sunt așteptate continuu pe măsură ce utilizarea serviciului web crește și SSL este aplicat și operat.

Pe serverul web Dacă doriți să aplicați la toate site-urile de subdomeniu cu portul implicit SSL 443 (serverul web SNI neacceptat poate lega un singur certificat pentru fiecare port SSL (ex, 443))

Introduceți mai multe alte domenii wildcard într-un singur certificat Cum se face? Pentru a face față unor astfel de cazuri, există un produs certificat SSL Multi-Wildcard. Un singur wildcard poate conține doar 1 wildcard într-un certificat, iar multi wildcard poate conține până la 250 de wildcards într-un certificat.

Certificate wildcard „low cost”

Să trecem acum la oferta disponibilă. Dedicat certificatelor SSL pentru subdomenii, putem observa imediat prezența a 2 „entry-level”, RapidSSL și Sectigo Essential: acestea sunt certificate de tip „Domain Validated”, în care se află numele companiei, care oferă o garanție redusă, dar poate fi emisă într-un timp scurt, în mai puțin de o oră. Prin urmare, le recomandăm celor care se grăbesc și nu au cerințe speciale.

Certificate de comodat corporativ

Dintre cele de tip OV (organizație validată), caracterizate prin validare la nivelul întregii companii, am dori să recomandăm GeoTrust. În primul rând, GeoTrust este sinonim cu fiabilitatea, fiind unul dintre cele mai renumite branduri din domeniul securității web.

În al doilea rând, dar nu în ultimul rând, deoarece acest certificat Wildcard este cel care oferă cea mai mare garanție în cazul rar în care apare o încălcare a criptării. În acest caz, garanția oferită este de 1,25 milioane de dolari SUA, suficient pentru a dormi liniștit.

În cele din urmă, trebuie spus că, în cazul Wildcard-urilor, nu sunt disponibile, cel puțin pentru moment, certificate de tip EV (Extended Validated), acelea, pentru a fi clar, care arată bara de adrese verde în browser, împreună cu numele complet al companiei proprietar.

În cazul în care trebuie să obțineți bara verde pe unele subdomenii, trebuie să optați pentru certificate EV single sau multi-domain (SAN).

Unele diferențe comune pentru a vă face să înțelegeți între HTTPS și amp; Certificate SSL:

HTTPS VS HTTP

HTTP înseamnă Hypertext Transfer Protocol. Cu alte cuvinte, înseamnă un protocol de comunicare pentru transmiterea HTML care este hipertext. În HTTPS, ultimul S este o abreviere a O ver Secure Socket Layer. Deoarece HTTP transmite date într-un mod necriptat, este foarte ușor să intercepți mesajele trimise și primite de server și client.

De exemplu, ascultarea rău intenționată sau modificarea datelor pot apărea în procesul de trimitere a parolelor către server pentru conectare sau citirea documentelor confidențiale importante. HTTPS este ceea ce asigură acest lucru.

HTTPS și SSL

HTTPS și SSL sunt adesea înțelese în mod interschimbabil. Acest lucru este corect și greșit. Este ca și cum ai înțelege internetul și webul în același sens. În concluzie, la fel cum web este unul dintre serviciile care rulează pe Internet, HTTPS este un protocol care rulează pe protocolul SSL.

SSL și TLS

Același lucru. SSL a fost inventat de Netscape și, pe măsură ce treptat a devenit utilizat pe scară largă, a fost redenumit TLS, deoarece a fost schimbat în managementul IETF, un organism de standardizare. TLS 1.0 moștenește SSL 3.0. Cu toate acestea, numele SSL este folosit mult mai mult decât numele TLS.

Tipuri de criptare utilizate de SSL

Cheia SSL este criptarea. SSL utilizează două tehnici de criptare în combinație din motive de securitate și performanță. Pentru a înțelege cum funcționează SSL, trebuie să înțelegeți aceste tehnici de criptare. Dacă nu știți cum să faceți acest lucru, modul în care funcționează SSL se va simți abstract. Vom introduce tehnici de criptare utilizate în SSL, astfel încât să puteți înțelege SSL în detaliu. Să o provocăm, deoarece aceasta nu este doar o înțelegere a SSL, ci și abilitățile de bază ale unei persoane IT.

Tasta simetrică

Tipul de parolă utilizat pentru criptare, actul creării unei parole, se numește cheie. Deoarece rezultatul criptat este diferit în funcție de această cheie, dacă cheia nu este cunoscută, decriptarea, care este un act de decriptare a criptării, nu poate fi efectuată. Cheia simetrică se referă la o tehnică de criptare în care criptarea și decriptarea pot fi efectuate cu aceeași cheie.

Cu alte cuvinte, dacă ați utilizat valoarea 1234 pentru criptare, trebuie să introduceți valoarea 1234 la decriptare. Pentru a vă ajuta să înțelegeți, să vedem cum să utilizați openssl pentru a cripta cu o metodă cu cheie simetrică. Executarea comenzii de mai jos creează un fișier plaintext.txt. Și vi se va cere o parolă. Parola introdusă în acest moment devine cheia simetrică.

Cheie publică

Metoda cheii simetrice are dezavantajele sale. Este dificil să trimiți o cheie simetrică între persoanele care schimbă parole. Acest lucru se datorează faptului că dacă cheia simetrică este scursă, atacatorul care a obținut cheia poate decripta conținutul parolei, făcând parola inutilă. Metoda de criptare din acest fundal este metoda cheii publice.

Metoda cheii publice are două chei. Dacă este criptat cu cheia A, poate fi decriptat cu cheia B, iar dacă este criptat cu cheia B, poate fi decriptat cu cheia A.Concentrându-ne pe această metodă, una dintre cele două chei este desemnată ca cheie privată (numită și cheie privată, cheie privată sau cheie secretă), iar cealaltă este desemnată ca cheie publică.

Cheia privată este deținută doar de sine, iar cheia publică este furnizată altora. Alții cărora li s-a furnizat cheia publică criptează informațiile folosind cheia publică. Informațiile criptate sunt transmise persoanei care are cheia privată. Proprietarul cheii private utilizează această cheie pentru a decripta informațiile criptate. Chiar dacă cheia publică este scursă în timpul acestui proces, este sigură, deoarece informațiile nu pot fi decriptate fără a cunoaște cheia privată. Acest lucru se datorează faptului că criptarea poate fi efectuată cu o cheie publică, dar decriptarea nu este posibilă.

Certificat SSL

Rolul certificatelor SSL este destul de complex, deci trebuie să cunoașteți anumite cunoștințe pentru a înțelege mecanismul certificatelor. Există două funcții principale ale unui certificat.

Înțelegerea ambelor aspecte este esențială pentru înțelegerea certificatelor.

• Asigură că serverul la care clientul se conectează este un server de încredere.

• Oferă cheia publică care trebuie utilizată pentru comunicarea SSL către client.

CA

Rolul certificatului asigură faptul că serverul la care se conectează clientul este serverul destinat clientului. Există companii private care joacă acest rol, iar aceste companii se numesc CA (Autoritate de certificare) sau Root Certificate. CA nu este ceva ce poate face orice companie și pot participa doar companiile a căror credibilitate este strict certificată. Printre acestea, companiile reprezentative sunt următoarele. Cifrele sunt cota de piață actuală.

• Symantec cu o cotă de piață de 42,9%

• Comodo cu 26%

• GoDaddy cu 14%

• GlobalSign cu 7,7%

Serviciile care doresc să furnizeze comunicații criptate prin SSL trebuie să cumpere un certificat prin intermediul unei CA. CA evaluează fiabilitatea unui serviciu în diferite moduri.

Autoritatea de certificare privată

Dacă doriți să utilizați criptarea SSL în scopuri de dezvoltare sau private, puteți acționa și ca CA. Desigur, acesta nu este un certificat certificat, deci dacă utilizați un certificat de CA privat.

Conținutul certificatului SSL

Certificatul SSL conține următoarele informații:

• Informații despre serviciu (CA care a emis certificatul, domeniul serviciului etc.)

• Cheie publică pe partea serverului (conținutul cheii publice, metoda de criptare a cheii publice)

Browserul cunoaște CA.

Pentru a înțelege certificatele, un lucru pe care trebuie să-l cunoașteți este lista CA-urilor. Browserul cunoaște în prealabil lista CA-urilor. Aceasta înseamnă că codul sursă al browserului conține o listă de CA-uri. Pentru a deveni un CA certificat, acesta trebuie inclus în lista de CA pe care browserul le cunoaște în prealabil. Browserul cunoaște deja cheia publică a fiecărei CA împreună cu lista CA-urilor.