Atualmente, estamos implantando uma API beta para nossos serviços e queremos que todas as solicitações / respostas da API funcionem em https. Estou confuso sobre o uso de certificados curinga para ambos api
e www
URLs. É uma boa ideia usar um certificado curinga para ambos api.example.com
e www.example.com
? Há algum inconveniente?
E os certificados de apenas um servidor? Porque estou implantando minha API em n servidores com um balanceador de carga na frente.
https
security-certificate
licorna
fonte
fonte
Respostas:
Você está correto, usar um certificado curinga é uma ótima idéia nesse caso. Isso manterá sua configuração de domínios separados simples e garantirá que todos os subdomínios que você decide adicionar funcionem.
Existem algumas desvantagens:
- Seu domínio de nível superior não é seguro. Como em, o certificado não é bom para
example.com
.- Eles são muito caros, normalmente em torno de US $ 1k.
Quanto aos certificados para 1 servidor, isso depende do contrato que você faz quando compra o certificado. Alguns permitem que o certificado seja instalado em vários servidores, outros não. Além disso, não tenho idéia de como ou se eles verificam se o certificado está instalado apenas em um único servidor. Você pode se safar disso ...
Além disso, se você estiver usando um balanceador de carga, eu recomendaria instalar o certificado lá, se o seu hardware permitir. Eu sei que a série Cisco CSS possui um módulo de hardware dedicado que lida com toda a criptografia e descriptografia, economizando algum trabalho para seus servidores.
fonte
O único problema que eu vi com certificados curinga até agora é que eles não parecem ter nenhum que suporte EV. Isso é realmente apenas uma preocupação se você deseja que o cromo do navegador apague: "ei, este site é oficialmente bom e vertiginoso". Se você está procurando apenas um transporte seguro e não se importa com a confiança na compra do cliente, siga o caminho mais barato. Ou compre EV para o servidor www e curinga para a API.
fonte