वहाँ एक सुरक्षा कारणों से अगर कई सर्वरों पर इस्तेमाल प्रबंधन क्षमता और शोषण के अलावा अन्य प्रमाणपत्र किसी वाइल्डकार्ड का उपयोग करने के लिए नहीं है?

मेरे पास एक सुरक्षा सलाहकार है जो मुझे बता रहा है कि हम सुरक्षा कारणों से वाइल्डकार्ड एसएसएल सेर्ट्स का उपयोग नहीं कर सकते हैं। स्पष्ट होने के लिए मैं सिंगल सेरट्स या मल्टी-डोमेन सेर (सैन) का उपयोग करना पसंद करता हूं। हालाँकि हमारे पास सर्वर (plesk) के लिए 100s उप डोमेन के सर्वर की आवश्यकता है।

मेरे शोध के आधार पर वाइल्डकार्ड का उपयोग न करने के लिए लोगों का मुख्य कारण निम्नलिखित है जो सत्यापन से आया प्रतीत होता है:

• सुरक्षा: यदि एक सर्वर या उप-डोमेन से समझौता किया जाता है, तो सभी उप-डोमेन से समझौता किया जा सकता है।
• प्रबंधन: यदि वाइल्डकार्ड प्रमाणपत्र को निरस्त करने की आवश्यकता है, तो सभी उप-डोमेन को एक नए प्रमाणपत्र की आवश्यकता होगी।
• संगतता: वाइल्डकार्ड प्रमाणपत्र
  पुराने सर्वर-क्लाइंट कॉन्फ़िगरेशन के साथ मूल रूप से काम नहीं कर सकते हैं ।
• सुरक्षा: वेरीसिग्न वाइल्डकार्ड एसएसएल सर्टिफिकेट नेटसुरे विस्तारित वारंटी द्वारा संरक्षित नहीं हैं।

चूंकि प्राइवेट की, सर्टिफिकेट और सबडोमेन सभी एक ही सर्वर पर मौजूद होंगे ... रिप्लेसमेंट इस एक सर्टिफिकेट को रिप्लेस करने और यूजर्स की समान राशि को प्रभावित करने जितना आसान होगा। इसलिए वाइल्डकार्ड प्रमाणपत्र का उपयोग न करने का एक और कारण है?

केवल एक अन्य 'गेटचा' जो मुझे पता है कि विस्तारित सत्यापन प्रमाणपत्र किसी वाइल्डकार्ड के साथ जारी नहीं किया जा सकता है , इसलिए यदि आप ईवी प्रमाणपत्र के लिए जा रहे हैं तो यह विकल्प नहीं है।

सुरक्षा के संदर्भ में, आपने नाखून को सिर पर मार दिया है - एक एकल निजी कुंजी उन सभी डोमेन की सुरक्षा करती है जो वाइल्डकार्ड के अंतर्गत हैं। उदाहरण के लिए, यदि आपके पास एक मल्टी-डोमेन SAN सर्टिफिकेट है जो कवर किया गया है www.example.comऔर something.example.comसमझौता किया गया है, तो केवल उन दो डोमेन में समझौता किए गए कुंजी के साथ हमले का खतरा है।

हालाँकि, अगर वही सिस्टम इसके बजाय *.example.comएसएसएल ट्रैफिक wwwऔर somethingसबडोमेन को संभालने के लिए एक सर्टिफिकेट चला रहा था और समझौता किया गया था, तो उस वाइल्डकार्ड द्वारा कवर की गई हर चीज संभावित रूप से जोखिम में है, यहां तक ​​कि सेवाओं को सीधे उस सर्वर पर होस्ट नहीं किया जाता है - कहते हैं webmail.example.com,।

सुरक्षा: यदि एक सर्वर या उप-डोमेन से समझौता किया जाता है, तो सभी उप-डोमेन से समझौता किया जा सकता है।

यदि आप अपने सैकड़ों वर्चुअल होस्ट के लिए एक एकल वेब सर्वर का उपयोग कर रहे हैं, तो सभी निजी कुंजियों को उस वेब सर्वर प्रक्रिया द्वारा पठनीय होने की आवश्यकता होगी। यदि कोई व्यक्ति किसी बिंदु पर सिस्टम से समझौता कर सकता है, तो वे एक कुंजी / प्रमाण पत्र पढ़ सकते हैं, तो उन्होंने संभवतः पहले से ही एक बिंदु पर सिस्टम से समझौता कर लिया है, जहां वे उस वेब सर्वर द्वारा उपयोग किए जाने वाले सभी निजी कुंजी / सेर्ट्स को हड़प सकते हैं।

कुंजी आमतौर पर फाइल सिस्टम पर विशेषाधिकारों के साथ संग्रहीत होती हैं जो रूट को केवल उन तक पहुंचने की अनुमति देती हैं। तो अगर आपका सिस्टम जड़ है, तो आप शायद सब कुछ खो चुके हैं। वास्तव में कोई फर्क नहीं पड़ता अगर आपके पास एक एकल प्रमाण पत्र या कई हैं।

प्रबंधन: यदि वाइल्डकार्ड प्रमाणपत्र को निरस्त करने की आवश्यकता है, तो सभी उप-डोमेन को एक नए प्रमाणपत्र की आवश्यकता होगी।

यदि आप * .example.org के लिए वाइल्डकार्ड का उपयोग कर रहे हैं तो आपको केवल एक प्रमाण पत्र को बदलने की आवश्यकता है। यदि आपके पास one.example.org, two.example.org, और three.example.org का प्रमाण पत्र है, तो आपको 3 प्रमाणपत्र बदलने होंगे। तो वाइल्डकार्ड प्रमाण पत्र कम काम है। तो हां, उस प्रमाणपत्र को रद्द कर दिया जाएगा और प्रतिस्थापित किया जाएगा, लेकिन चूंकि आपको केवल सैकड़ों के बजाय एक को बदलना होगा, इसलिए यह बहुत आसान होना चाहिए।

संगतता: वाइल्डकार्ड प्रमाणपत्र पुराने सर्वर-क्लाइंट कॉन्फ़िगरेशन के साथ मूल रूप से काम नहीं कर सकते हैं।

उन सिस्टम को लगभग निश्चित रूप से अद्यतन करने की आवश्यकता है। वे लगभग निश्चित रूप से कई अन्य कमजोरियां हैं।