it-swarm-eu.dev

Použití zástupných certifikátů

Mohu si koupit zástupný certifikát pro použití stejného certifikátu SSL na více doménách? Například www.example.com, www.example.org a www.example.net (v různých hostingových službách)?

Když se mi podaří,

  1. Je to dobré a levné řešení?
  2. Jaká jsou rizika?
7
aneuryzm

Toto je ne jak fungují zástupné certifikáty.

Zástupné znaky jsou pouze pro subdomény. Tj. zástupný certifikát pro example.com se bude vztahovat také na všechny subdomény, např. a.example.com, b.example.com, c.example.com atd. V podstatě můžete zástupný výraz zobrazit jako *.example.com.

Neexistuje (pokud vím) žádný způsob, jak mít jediný certifikát, který se vztahuje na website1.com a website2.com, s výjimkou (jak Farseeker zdůraznil ve svém komentáři) k vydání zástupné karty *.com které by se vztahovalo na všechny domény .com. Žádná renomovaná certifikační autorita by takový certifikát nikdy nevydala, a pokud by to udělaly, přestaly by být velmi renomované!

3
Kris

Odpověď společnosti Kris týkající se zástupných certifikátů je správná (+1) - ale z vaší související otázky vyplývá, že byste se mohli více obávat toho, že si nemusíte kupovat samostatné certifikáty pro každou doménu, než abyste technicky sdíleli jeden certifikát ( např. snížit administrativní režii), ráda bych za druhé doporučení gbroiles z startssl.com za jejich (podle mého nejlepšího vědomí) stále jedinečnou nabídku v tomto ohledu konkrétně :

  • Jsou relativně levné ( nebo dokonce zdarma ) ve srovnání s mnoha jinými komerčními poskytovateli především kvůli jejich odlišnému přístupu k validaci/certifikaci, to znamená, že zpočátku validují pouze osoby/organizace, pozdější certifikát výroba a správa poté je většinou automatizovaná, a tudíž bez dodatečných nákladů.

  • Tento přístup v podstatě umožňuje generovat certifikáty pro tolik domén, kolik si budete přát (viz FAQ 27: Za co platím přesně a kolik certifikátů získám s Class 2? =).

    • Zástupné certifikáty pro subdomény jsou samozřejmě stále podporovány, ačkoli jejich potřeba/použití je implicitně redukováno na případy, kdy to dává smysl sémanticky/technicky, protože je to očividně žádný problém s bezplatným vygenerováním certifikátu pro konkrétní subdoménu, pokud je to nutné.

Můžete skončit s mírně větším administrativním úsilím než s dražšími poskytovateli (ne však nutně) a mírně sníženým pokrytím kořenových certifikátů klienta než s většími poskytovateli (neustále se snižující problém s nedávnými verzemi klienta/prohlížeče), ale jinak budete se cítit (a budete) pod kontrolou, abyste pokryli všechny vaše potřeby za minimální cenu.

Toto řešení pro nás funguje velmi dobře, po přepnutí na StartSSL jsme se nikdy neohlédli.

1
Steffen Opel

Příspěvek může být o něco starší, ale pro lidi, kteří na to narazili. Existuje více domén, které vám umožňují pokrýt několik domén. Comodo a DigiCert jako jen některé ze společností, které je nabízejí.

1
Joe