SSL WildCard

Заместващ SSL: всичко, което трябва да знаете

Те са кръстени на заместващия знак (звездичката), всъщност на английски Wildcard. Звездичката се използва за определяне на групата поддомейни, за които се прилага сертификатът.

За да се опрости, може да се каже, че стойността на звездичката не надвишава точката. В същото време не е възможно да се използват две или повече звездички: например не е възможно да се удостовери.

Заместващият сертификат е сертификат, който позволява неограничено прилагане на SSL към поддомейни хостове на домейн (FQDN). Напоследък около 40% от издадените SSL сертификати се издават със Wildcard SSL сертификати, което доказва, че е високоефективен.

Причината да бъде наречен Wildcard е, че домейнът на сертификата (CN и DNS име) е във формата * .mydomain.com. Това е вид сертификат Multi / SAN и е удължаваща технология на международния стандарт RFC X.509. Можете да разберете, че заместващите домейни по подразбиране и поддомените са включени в елемента [Subject Alternative Name-DNS Name] в елемента за изглед на подробности за сертификата в уеб браузъра.

Например: уеб браузърът всъщност се показва в сертификата, показва се заместващ сертификат. Когато разглеждате информацията за сертификата на приложената уеб страница, тя се показва в конкретния формат.

Дори и с тези ограничения, Wildcard сертификатите представляват много удобен метод за криптиране на предаването на данни на множество поддомейни.

SSL цифров сертификат

SSL сертификатът е електронен документ, който гарантира комуникация между клиент и сървър от трета страна. Веднага след като клиентът се свърже със сървъра, сървърът предава тази информация за сертификата на клиента. Клиентът извършва следната процедура, след като провери дали тази информация за сертификата е надеждна. Предимствата от използването на SSL и SSL цифрови сертификати са както следва.

• Съдържанието на комуникацията може да бъде предотвратено да бъде изложено на нападатели.

• Възможно е да се определи дали сървърът, към който се свързва клиентът, е доверен сървър.

• Можете да предотвратите злонамерена промяна на комуникационното съдържание.

   

Приложение за издаване на пример за въвеждане на CN (домейн)

Заместващ знак:

CN: Трябва да е същият модел като * .example.com или * .sub2.sub1.sslcert.co.net, идентифициран от DNS Името.

Multi-Wildcard

CN: *. Въведете коренното FQDN на example.com като CN, с изключение на марката.

пр.) Ако * .sub.sslcert.co.net е представителният домейн, въведете CN като sub.sslcert.net

SAN: Домените на заместващи файлове във формата * .example.com и * .sub.sslert.co.net са, Допълнителни въвеждания се правят по време на стъпката за настройка на DCV по време на формуляра за кандидатстване.

Бележки (Внимание за грешки)

Тъй като само стъпката на позицията на дисплея е неограничен брой хостове. Форматът на .sslcert.co.net не е възможен. Не е възможно да кандидатствате в няколко стъпки като:

Основна употреба

При прилагането на един заместващ SSL е по-изгодно за намаляване на разходите / управление от издаването на множество поддомейни всеки - Когато поддомейни се очакват непрекъснато с увеличаване на използването на уеб услугата и SSL се прилага и експлоатира.

На уеб сървъра Ако искате да кандидатствате за всички поддомейни уебсайтове с 443 SSL порт по подразбиране (SNI неподдържаният уеб сървър може да обвърже само един сертификат за един SSL порт (напр., 443))

Поставяне на множество други заместващи домейни в един сертификат Как да го направя? За да се справите с такива случаи, има продукт със сертификат Multi-Wildcard SSL. Един заместващ символ може да съдържа само 1 заместващ знак в сертификат, а много заместващ символ може да съдържа до 250 заместващи знака в 1 сертификат.

"Нискотарифни" сертификати за заместващи символи

Нека сега преминем към наличната оферта. Посветени на SSL сертификати за поддомейни, веднага можем да забележим наличието на 2 „входно ниво“, RapidSSL и Sectigo Essential: това са сертификати от типа „Domain Validated“, в който името на компанията, която предлагат ниска гаранция, но могат да бъдат издадени за кратко време, за по-малко от час. Затова ги препоръчваме за тези, които бързат и нямат особени изисквания.

Сертификати за корпоративни заместващи символи

Сред тези от типа OV (Организирано потвърдено), поради което се характеризира с валидиране в цялата компания, бихме искали да препоръчаме GeoTrust. На първо място, GeoTrust е синоним на надеждност, като е една от най-известните марки в областта на уеб сигурността.

Второ, но не на последно място, защото този Wildcard сертификат предлага най-високата гаранция в редките случаи, когато възникне нарушение на шифроването. В този случай предлаганата гаранция е 1,25 милиона щатски долара, колкото да се спи спокойно.

И накрая, трябва да се каже, че в случая на заместващи символи няма налични, поне засега, сертификати от тип EV (Extended Validated), които, за да бъде ясно, показват зелената адресна лента в браузъра, заедно с пълното име на фирмата собственик.

В случай, че трябва да получите зелена лента на някои поддомейни, трябва да изберете EV или еднодоменни (SAN) EV сертификати.

Някои често срещани разлики, които да ви накарат да разберете между HTTPS & amp; SSL сертификати:

HTTPS VS HTTP

HTTP означава Hypertext Transfer Protocol. С други думи, това означава комуникационен протокол за предаване на HTML, който е хипертекст. В HTTPS последното S е съкращение от O ver Secure Socket Layer. Тъй като HTTP предава данни по некриптиран начин, е много лесно да се прихващат съобщения, изпратени и получени от сървъра и клиента.

Например в процеса на изпращане на пароли до сървъра за влизане или четене на важни поверителни документи може да възникне злонамерено подслушване или промяна на данни. HTTPS е това, което гарантира това.

HTTPS и SSL

HTTPS и SSL често се разбират взаимозаменяемо. Това е правилно и грешно. Това е все едно да разбираме Интернет и мрежата в същия смисъл. В заключение, точно както мрежата е една от услугите, работещи в Интернет, HTTPS е протокол, работещ на SSL протокола.

SSL и TLS

Едно и също нещо. SSL е изобретен от Netscape и тъй като постепенно става широко използван, той е преименуван на TLS, тъй като е променен на управлението на IETF, орган за стандартизация. TLS 1.0 наследява SSL 3.0. Името SSL обаче се използва много повече от името TLS.

Видове криптиране, използвани от SSL

Ключът към SSL е криптирането. SSL използва две техники за криптиране в комбинация от съображения за сигурност и производителност. За да разберете как работи SSL, трябва да разберете тези техники за криптиране. Ако не знаете как да направите това, начинът, по който работи SSL, ще се почувства абстрактно. Ще представим техники за криптиране, използвани в SSL, за да можете да разберете SSL в детайли. Нека го оспорим, защото това е не само разбиране на SSL, но и основните умения на ИТ човек.

Симетричен ключ

Типът парола, използван за криптиране, актът за създаване на парола, се нарича ключ. Тъй като криптираният резултат е различен според този ключ, ако ключът не е известен, не може да се извърши дешифриране, което е акт на дешифриране на криптирането. Симетричният ключ се отнася до техника за криптиране, при която криптирането и декриптирането могат да се извършват с един и същ ключ.

С други думи, ако сте използвали стойността 1234 за криптиране, трябва да въведете стойността 1234 при дешифриране. За да ви помогнем да разберете, нека разгледаме как да използваме openssl за криптиране с метод на симетричен ключ. Изпълнението на командата по-долу създава файл plaintext.txt. И ще бъдете помолени за парола. Въведената по това време парола се превръща в симетричен ключ.

Публичен ключ

Методът на симетричния ключ има своите недостатъци. Трудно е да се предаде симетричен ключ между хората, които обменят пароли. Това е така, защото ако симетричният ключ изтече, нападателят, получил ключа, може да дешифрира съдържанието на паролата, правейки паролата безполезна. Методът на криптиране от този фон е методът на публичния ключ.

Методът с публичен ключ има два ключа. Ако е кодирано с клавиш A, може да се дешифрира с клавиш B, а ако е кодирано с клавиш B, може да се дешифрира с ключ A.Фокусирайки се върху този метод, единият от двата ключа е определен като частен ключ (наричан още частен ключ, частен ключ или таен ключ), а другият е определен като публичен ключ.

Частният ключ се притежава само от самия него, а публичният ключ се предоставя на други. Други, на които е предоставен публичният ключ, криптират информацията с помощта на публичния ключ. Криптирана информация се предава на лицето, което има частния ключ. Собственикът на частния ключ използва този ключ, за да дешифрира кодираната информация. Дори публичният ключ да изтече по време на този процес, той е безопасен, защото информацията не може да се дешифрира, без да се знае частният ключ. Това е така, защото криптирането може да се извърши с публичен ключ, но дешифрирането не е възможно.

SSL сертификат

Ролята на SSL сертификатите е доста сложна, така че трябва да знаете някои познания, за да разберете механизма на сертификатите. Има две основни функции на сертификата.

Разбирането и на двете е ключово за разбирането на сертификатите.

• Гарантира, че сървърът, към който се свързва клиентът, е доверен сървър.

• Предоставя публичния ключ, който да се използва за SSL комуникация с клиента.

CA

Ролята на сертификата гарантира, че сървърът, към който се свързва клиентът, е сървърът, предназначен от клиента. Има частни компании, които играят тази роля и тези компании се наричат ​​CA (Certificate Authority) или Root Certificate. CA не е нещо, което може да направи всяка компания и могат да участват само компании, чиято надеждност е строго сертифицирана. Сред тях представителните компании са както следва. Цифрите са текущият пазарен дял.

• Symantec с 42,9% пазарен дял

• Комодо с 26%

• GoDaddy с 14%

• GlobalSign със 7,7%

Услугите, които искат да предоставят криптирана комуникация през SSL, трябва да закупят сертификат чрез CA. CA оценява надеждността на услугата по различни начини.

Частен сертифициращ орган

Ако искате да използвате SSL криптиране за разработка или за лични цели, можете също да действате сами като CA. Разбира се, това не е сертифициран сертификат, така че ако използвате частен сертификат на CA.

Съдържание на SSL сертификат

SSL сертификатът съдържа следната информация:

• Информация за услугата (CA, която е издала сертификат, домейн на услугата и т.н.)

• Публичен ключ от страна на сървъра (съдържание на публичен ключ, метод на криптиране на публичен ключ)

Браузърът знае CA

За да разберете сертификатите, едно нещо, което трябва да знаете, е списъкът на CA. Браузърът предварително познава списъка на CA. Това означава, че изходният код на браузъра съдържа списък на CAs. За да стане сертифициран CA, той трябва да бъде включен в списъка на CA, които браузърът знае предварително. Браузърът вече знае публичния ключ на всеки CA, заедно със списъка на CA.