SSL WildCard

Wildcard SSL: vše, co potřebujete vědět

Jsou pojmenovány podle zástupného znaku (hvězdička), ve skutečnosti v anglickém zástupném znaku. Hvězdička se používá k definování skupiny subdomén, pro které platí certifikát.

Pro zjednodušení lze říci, že hodnota hvězdičky nepřesahuje bod. Současně není možné použít dvě nebo více hvězdiček: například není možné certifikovat.

Zástupný certifikát je certifikát, který umožňuje neomezené použití SSL na hostitele subdomén domény (FQDN). V poslední době se asi 40% vydávání certifikátů SSL vydává pomocí zástupných certifikátů SSL, což dokazuje, že je vysoce efektivní.

Důvod, proč se jmenuje Zástupný znak, je ten, že doména certifikátu (název CN a DNS) je ve formátu * .mydomain.com. Jedná se o druh certifikátu Multi / SAN a je rozšiřující technologií mezinárodního standardu RFC X.509. Můžete pochopit, že výchozí zástupné znaky domény a subdomény jsou zahrnuty v položce [Alternativní název subjektu - název DNS] v položce zobrazení podrobností certifikátu ve webovém prohlížeči.

Například: webový prohlížeč se ve skutečnosti zobrazí v certifikátu, certifikát se zástupným znakem. Při prohlížení informací o certifikátu použité webové stránky se zobrazí v konkrétním formátu.

I s těmito omezeními představují zástupné certifikáty velmi pohodlný způsob šifrování datového přenosu mnoha subdomén.

Digitální certifikát SSL

Certifikát SSL je elektronický dokument, který zaručuje komunikaci mezi klientem a serverem třetí stranou. Ihned poté, co se klient připojí k serveru, server předá klientovi tyto informace o certifikátu. Klient provede následující postup po ověření, že jsou tyto informace o certifikátu důvěryhodné. Výhody použití SSL a digitálních certifikátů SSL jsou následující.

• Lze zabránit tomu, aby byl komunikační obsah vystaven útočníkům.

• Je možné určit, zda je server, ke kterému se klient připojuje, důvěryhodný server.

• Můžete zabránit škodlivé změně komunikačního obsahu.

   

Příklad vstupu žádosti o vydání CN (doména)

Divoká karta:

CN: Musí to být stejný vzor jako * .example.com nebo * .sub2.sub1.sslcert.co.net identifikovaný podle názvu DNS.

Více zástupných znaků

CN: *. Zadejte kořenový plně kvalifikovaný název domény example.com jako CN, bez značky.

ex) Pokud je reprezentativní doménou * .sub.sslcert.co.net, zadejte CN jako sub.sslcert.net

SAN: Zástupné domény ve formátu * .example.com a * .sub.sslert.co.net jsou, Další vstupy se provádějí během kroku nastavení DCV během formuláře žádosti.

Poznámky (upozornění na chyby)

Protože pouze krok umístění displeje je neomezený počet hostitelů. Formát souboru .sslcert.co.net není možný. Nelze použít v několika krocích, například:

Hlavní použití

Při použití jednoho zástupného znaku SSL je výhodnější pro snížení / správu nákladů než vydávání více subdomén každá - Když se subdomény očekávají nepřetržitě, jak se zvyšuje využití webové služby, a SSL se používá a provozuje.

Na webovém serveru Chcete-li použít na všechny weby subdomén s výchozím portem SSL 443 (nepodporovaný webový server SNI může vázat pouze jeden certifikát na jeden port SSL (např. 443))

Vložte do jednoho certifikátu několik dalších domén se zástupnými znaky Jak na to? Abychom se s takovými případy vyrovnali, existuje produkt SSL certifikátu Multi-Wildcard. Jeden zástupný znak může v certifikátu obsahovat pouze 1 zástupný znak a více zástupných znaků může obsahovat až 250 zástupných znaků v jednom certifikátu.

„Nízké náklady“ zástupné certifikáty

Pojďme nyní k dostupné nabídce. Věnováno SSL certifikátům pro subdomény, můžeme si okamžitě všimnout přítomnosti 2 „entry-level“, RapidSSL a Sectigo Essential: jedná se o certifikáty typu „Domain Validated“, ve kterých je uveden název společnosti, která nabízejí nízkou záruku, ale mohou být vystaveny v krátké době, za méně než hodinu. Doporučujeme je proto těm, kteří spěchají a nemají žádné zvláštní požadavky.

Firemní zástupné certifikáty

Z těch typu OV (Organization Validated), které se proto vyznačují celopodnikovou validací, bychom chtěli doporučit GeoTrust. GeoTrust je v první řadě synonymem spolehlivosti a je jednou z nejznámějších značek v oblasti zabezpečení webu.

Za druhé, ale v neposlední řadě proto, že tento zástupný certifikát je ten, který nabízí nejvyšší záruku ve výjimečných případech, kdy dojde k porušení šifrování. V tomto případě je nabízená záruka 1,25 milionu amerických dolarů, což stačí na klidný spánek.

Nakonec je třeba říci, že v případě zástupných znaků neexistují, alespoň prozatím, žádné certifikáty typu EV (Extended Validated), které by měly být jasné a které by v prohlížeči zobrazovaly zelený adresní řádek, spolu s celým jménem vlastnické společnosti.

V případě, že potřebujete získat zelený pruh na některých subdoménách, musíte se rozhodnout pro certifikáty EV s jednou nebo více doménami (SAN).

Některé běžné rozdíly, které vám pomohou porozumět mezi HTTPS a SSL certifikáty:

HTTPS VS HTTP

HTTP znamená Hypertext Transfer Protocol. Jinými slovy to znamená komunikační protokol pro přenos HTML, kterým je Hypertext. V HTTPS je poslední S zkratkou O ver Secure Socket Layer. Protože HTTP přenáší data nešifrovaným způsobem, je velmi snadné zachytit zprávy odeslané a přijaté serverem a klientem.

Například může dojít k škodlivému odposlechu nebo změně dat v procesu odesílání hesel na server k přihlášení nebo čtení důležitých důvěrných dokumentů. To zajišťuje HTTPS.

HTTPS a SSL

HTTPS a SSL jsou často chápány zaměnitelně. To je správné a špatné. Je to jako pochopit internet a web ve stejném smyslu. Závěrem lze říci, že stejně jako je web jednou ze služeb běžících na internetu, HTTPS je protokol běžící na protokolu SSL.

SSL a TLS

Ta samá věc. SSL vymyslel Netscape a jak se postupně široce používalo, bylo přejmenováno na TLS, protože se změnilo na správu IETF, standardizačního orgánu. TLS 1.0 dědí SSL 3.0. Název SSL se však používá mnohem více než název TLS.

Typy šifrování používané protokolem SSL

Klíčem k SSL je šifrování. SSL používá dvě šifrovací techniky v kombinaci z bezpečnostních a výkonnostních důvodů. Abyste pochopili, jak funguje SSL, musíte porozumět těmto technikám šifrování. Pokud nevíte, jak to udělat, bude způsob, jakým SSL funguje, působit abstraktně. Zavedeme šifrovací techniky používané v SSL, abyste mohli SSL podrobně porozumět. Pojďme to zpochybnit, protože to není jen porozumění SSL, ale také základní dovednosti IT pracovníka.

Symetrický klíč

Typ hesla použitého pro šifrování, akt vytvoření hesla, se nazývá klíč. Protože zašifrovaný výsledek se liší podle tohoto klíče, není-li klíč znám, nelze provést dešifrování, které je dešifrováním šifrování. Symetrický klíč označuje šifrovací techniku, při které lze šifrování a dešifrování provádět pomocí stejného klíče.

Jinými slovy, pokud jste pro šifrování použili hodnotu 1234, musíte při dešifrování zadat hodnotu 1234. Abychom vám porozuměli, pojďme se podívat na to, jak používat openssl k šifrování metodou symetrického klíče. Provedením níže uvedeného příkazu se vytvoří soubor plaintext.txt. A budete požádáni o heslo. Heslo zadané v tomto okamžiku se stane symetrickým klíčem.

Veřejný klíč

Metoda symetrického klíče má své nevýhody. Je těžké předat symetrický klíč mezi lidmi, kteří si vyměňují hesla. Důvodem je, že pokud dojde k úniku symetrického klíče, může útočník, který klíč získal, dešifrovat obsah hesla, čímž bude heslo zbytečné. Metoda šifrování z tohoto pozadí je metoda veřejného klíče.

Metoda veřejného klíče má dva klíče. Pokud je šifrováno klíčem A, lze ho dešifrovat klíčem B a pokud je šifrováno klíčem B, lze jej dešifrovat klíčem A.Zaměřením na tuto metodu je jeden ze dvou klíčů označen jako soukromý klíč (také nazývaný soukromý klíč, soukromý klíč nebo tajný klíč) a druhý je označen jako veřejný klíč.

Soukromý klíč vlastní pouze sám a veřejný klíč je poskytován ostatním. Jiní, kterým byl poskytnut veřejný klíč, šifrují informace pomocí veřejného klíče. Šifrované informace jsou přenášeny osobě, která má soukromý klíč. Vlastník soukromého klíče používá tento klíč k dešifrování zašifrovaných informací. I když během tohoto procesu dojde k úniku veřejného klíče, je to bezpečné, protože informace nelze dešifrovat bez znalosti soukromého klíče. Důvodem je, že šifrování lze provést pomocí veřejného klíče, ale dešifrování není možné.

SSL certifikát

Role certifikátů SSL je poměrně složitá, takže musíte znát určité znalosti, abyste porozuměli mechanismu certifikátů. Certifikát má dvě hlavní funkce.

Pochopení obou je klíčem k pochopení certifikátů.

• Zajišťuje, že server, ke kterému se klient připojuje, je důvěryhodný server.

• Poskytuje veřejný klíč, který se má použít pro komunikaci SSL s klientem.

CA

Role certifikátu zajišťuje, že server, ke kterému se klient připojuje, je server určený klientem. Tuto roli hrají soukromé společnosti a těmto společnostem se říká CA (Certifikační autorita) nebo Root Certificate. CA není něco, co by mohla dělat kterákoli společnost, a mohou se účastnit pouze společnosti, jejichž důvěryhodnost je přísně certifikována. Mezi nimi jsou reprezentativní společnosti. Čísla představují aktuální podíl na trhu.

• Symantec se 42,9% podílem na trhu

• Comodo s 26%

• GoDaddy se 14%

• GlobalSign se 7,7%

Služby, které chtějí poskytovat šifrovanou komunikaci přes SSL, si musí zakoupit certifikát prostřednictvím CA. CA hodnotí spolehlivost služby různými způsoby.

Soukromá certifikační autorita

Pokud chcete použít šifrování SSL pro vývojové nebo soukromé účely, můžete také působit jako CA sami. Samozřejmě se nejedná o certifikovaný certifikát, takže pokud používáte certifikát soukromé CA.

Obsah SSL certifikátu

Certifikát SSL obsahuje následující informace:

• Informace o službě (CA, která vydala certifikát, doména služby atd.)

• Veřejný klíč na straně serveru (obsah veřejného klíče, metoda šifrování veřejného klíče)

Prohlížeč zná CA

Abyste pochopili certifikáty, musíte vědět, co je seznam CA. Prohlížeč interně zná seznam certifikačních autorit předem. To znamená, že zdrojový kód prohlížeče obsahuje seznam certifikačních autorit. Aby se stal certifikovaným CA, musí být zahrnut do seznamu CA, které prohlížeč předem zná. Prohlížeč již zná veřejný klíč každé certifikační autority spolu se seznamem certifikačních autorit.