Usando certificados curinga para implantação em vários servidores

11

Atualmente, estamos implantando uma API beta para nossos serviços e queremos que todas as solicitações / respostas da API funcionem em https. Estou confuso sobre o uso de certificados curinga para ambos apie wwwURLs. É uma boa ideia usar um certificado curinga para ambos api.example.come www.example.com? Há algum inconveniente?

E os certificados de apenas um servidor? Porque estou implantando minha API em n servidores com um balanceador de carga na frente.

https security-certificate licorna
fonte
Os certificados estão vinculados aos seus nomes de domínio (ou, no caso de um curinga, * .domínio) - você pode implantar o único certificado em dezenas de servidores sem problemas. Fazemos isso agora com um balanceador de carga, basta lembrar de atualizar todos os certificados em todos os servidores quando chegar a hora da renovação.
Mark Henderson

Respostas:

4

Você está correto, usar um certificado curinga é uma ótima idéia nesse caso. Isso manterá sua configuração de domínios separados simples e garantirá que todos os subdomínios que você decide adicionar funcionem.

Existem algumas desvantagens:
- Seu domínio de nível superior não é seguro. Como em, o certificado não é bom para example.com.
- Eles são muito caros, normalmente em torno de US $ 1k.

Quanto aos certificados para 1 servidor, isso depende do contrato que você faz quando compra o certificado. Alguns permitem que o certificado seja instalado em vários servidores, outros não. Além disso, não tenho idéia de como ou se eles verificam se o certificado está instalado apenas em um único servidor. Você pode se safar disso ...

Além disso, se você estiver usando um balanceador de carga, eu recomendaria instalar o certificado lá, se o seu hardware permitir. Eu sei que a série Cisco CSS possui um módulo de hardware dedicado que lida com toda a criptografia e descriptografia, economizando algum trabalho para seus servidores.

Chris Henry
fonte
3
O SSL curinga da Digicert é de 1/2 a 1/3 desse preço e é flexível (instalações para vários servidores). Nós os usamos há alguns anos e funcionou bem para nós.
21810 JasonBirch
Godaddy.com vende certificados curinga por cerca de US $ 200 / ano. Eu os uso há 3 anos e não tive nenhum problema com os navegadores que os aceitavam.
precisa
Os certificados Digicert também protegerão o domínio base (ou seja, nenhum subdomínio), para o qual a maioria dos outros fornecedores precisam que você compre um certificado adicional.
Gareth
2

O único problema que eu vi com certificados curinga até agora é que eles não parecem ter nenhum que suporte EV. Isso é realmente apenas uma preocupação se você deseja que o cromo do navegador apague: "ei, este site é oficialmente bom e vertiginoso". Se você está procurando apenas um transporte seguro e não se importa com a confiança na compra do cliente, siga o caminho mais barato. Ou compre EV para o servidor www e curinga para a API.

JasonBirch
fonte
Eu estou ok com isso, espero que o meu banco para ter um EV, mas não a mim
licorna