Uso de certificados comodín para la implementación de varios servidores

11

Actualmente estamos implementando una API beta para nuestros servicios y queremos que todas las solicitudes / respuestas de la API funcionen a través de https. Estoy confundido sobre el uso de certificados comodín para ambos apiy wwwurls. ¿Es una buena idea usar un certificado comodín para ambos api.example.comy www.example.com? ¿Hay algún inconveniente?

¿Qué pasa con esos certificados de 1 servidor solamente? Porque estoy implementando mi API en n servidores con un equilibrador de carga en el frente.

https  security-certificate 
licorna
fuente
Los certificados están vinculados a sus nombres de dominio (o en el caso de un comodín, * .dominio): puede implementar el certificado único en docenas de servidores sin problemas. Hacemos esto ahora con un equilibrador de carga, solo debe recordar actualizar cada certificado en cada servidor cuando llegue el momento de la renovación.
Mark Henderson

Respuestas:

4

Tiene razón, usar un certificado comodín es una gran idea en este caso. Mantendrá su configuración para dominios separados simple y asegurará que cualquier subdominio que decida agregar funcionará.

Hay un par de inconvenientes:
- Su dominio de nivel superior no es seguro. Como en, el certificado no es bueno para example.com.
- Son muy caros, normalmente alrededor de $ 1k.

En cuanto a los certificados de 1 solo servidor, depende del acuerdo que haga cuando compre el certificado. Algunos permitirán que el certificado se instale en varios servidores, otros no. Además, no tengo idea de cómo o si verifican que el certificado solo esté instalado en un único servidor. Tal vez puedas salirte con la tuya ...

Además, si está utilizando un equilibrador de carga, recomendaría instalar el certificado allí, si su hardware lo permite. Sé que la serie Cisco CSS tiene un módulo de hardware dedicado que maneja todo el cifrado y descifrado, ahorrando algo de trabajo para sus servidores.

Chris Henry
fuente
3
El SSL comodín de Digicert es de 1/2 a 1/3 de ese precio y es flexible (instalaciones de varios servidores). Los hemos estado usando durante un par de años y nos ha funcionado bien.
JasonBirch
Godaddy.com vende certificados comodín por alrededor de $ 200 / año. Los he estado usando durante 3 años en este momento y no he tenido ningún problema con ningún navegador que los acepte.
dragonmantank
Los certificados Digicert también protegerán el dominio base (es decir, sin subdominio) para el que la mayoría de los otros proveedores necesitan que compre un certificado adicional
Gareth
2

El único problema que he visto con los certificados comodín hasta ahora es que no parecen tener ninguno que sea compatible con EV. Esto solo es realmente una preocupación si quieres que el navegador Chrome sea genial y diga "hey, este sitio está oficialmente bien y verticalizado". Si solo está buscando un transporte seguro y no le importa la confianza de compra del cliente, siga el camino barato. O compre EV para el servidor www y comodín para la API.

JasonBirch
fuente
Estoy de acuerdo con eso, espero que mi banco tenga un EV, pero no yo
licorna
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.