Utilizzo dei certificati jolly per la distribuzione multi-server

11

Attualmente stiamo implementando un'API beta per i nostri servizi e desideriamo che tutte le richieste / risposte dell'API funzionino su https. Sono confuso sull'uso dei certificati jolly per entrambi apie per gli wwwURL. È una buona idea usare un certificato jolly per entrambi api.example.come www.example.com? Ci sono degli inconvenienti?

Che dire di quei certificati solo server? Perché sto distribuendo la mia API in n server con un bilanciamento del carico in primo piano.

https  security-certificate 
licorna
fonte
I certificati sono collegati ai loro nomi di dominio (o nel caso di un carattere jolly, * .dominio): è possibile distribuire un certificato su dozzine di server senza problemi. Lo facciamo ora con un bilanciamento del carico, devi solo ricordare di aggiornare ogni certificato su ogni server quando arriva il momento del rinnovo.
Mark Henderson,

Risposte:

4

Hai ragione, utilizzare un certificato jolly è un'ottima idea in questo caso. Manterrà semplice la tua configurazione per domini separati e assicurerà che tutti i sottodomini che decidi di aggiungere funzioneranno.

Ci sono alcuni svantaggi:
- Il tuo dominio di primo livello non è sicuro. Come in, il certificato non è buono per example.com.
- Sono molto costosi, normalmente intorno a $ 1k.

Per quanto riguarda i certificati solo 1 server, dipende dall'accordo che stipuli al momento dell'acquisto del certificato. Alcuni consentiranno l'installazione del certificato su più server, altri no. Inoltre, non ho idea di come o se controllano che il certificato sia installato solo su un singolo server. Potresti riuscire a cavartela ...

Inoltre, se si utilizza un bilanciamento del carico, consiglierei di installare lì il certificato, se l'hardware lo consente. So che la serie Cisco CSS ha un modulo hardware dedicato che gestisce tutta la crittografia e la decrittografia, risparmiando un po 'di lavoro per i tuoi server.

Chris Henry
fonte
3
Il jolly Digicert SSL è compreso tra 1/2 e 1/3 di quel prezzo ed è flessibile (installazioni multi server). Li usiamo da un paio d'anni e ha funzionato bene per noi.
JasonBirch,
Godaddy.com vende certificati jolly per circa $ 200 / anno. Li sto usando da 3 anni e non ho avuto problemi con i browser che li accettano.
dragonmantank,
I certificati Digicert proteggeranno anche il dominio di base (ovvero nessun sottodominio) per il quale la maggior parte degli altri fornitori ha bisogno che tu acquisti un certificato aggiuntivo per
Gareth,
2

L'unico problema che ho visto finora con i caratteri jolly è che non sembrano avere alcun supporto EV. Questa è una vera preoccupazione solo se vuoi che il fantastico browser Chrome dica "ehi, questo sito è ufficialmente OK e verificato". Se stai cercando solo un trasporto sicuro e non ti preoccupi della sicurezza degli acquisti dei clienti, procedi nel modo più economico. Oppure acquista EV per il server www e jolly per l'API.

JasonBirch
fonte
Sono d'
accordo
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.