Was ist ein Wildcard-Zertifikat?
Ein Wildcard-Zertifikat (wie SSL/TLS) ist ein Public-Key-Zertifikat, das mehrere Subdomänen innerhalb einer Domäne schützen kann und normalerweise von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle (CA) erworben wird.
Mehrere Subdomains für Ihre Website können Ihrem Unternehmen zugutekommen, sind aber auch schwierig zu verwalten. Mehrere SSL/TLS-Zertifikate zum Schutz dieser Subdomains erhöhen die Komplexität, ein Wildcard-Zertifikat kann dieses Problem jedoch effizient lösen.
Mit einem Wildcard-Zertifikat können Sie im Vergleich zur Verwaltung einzelner Zertifikate für Ihre Subdomänen Zeit und Geld sparen.
Platzhalter werden häufig in SSL-Zertifikaten (Secure Socket Layers) verwendet, um die SSL-Verschlüsselung auf Subdomains auszuweiten. Ein herkömmliches SSL-Zertifikat ist nur für eine einzelne Domain gültig, z. B. www.domain.com. Ein *.domain.com-Platzhalterzertifikat schützt cloud.domain.com, shop.domain.com, mobile.domain.com und andere Domains.
Wie funktioniert das Wildcard-SSL-Zertifikat?
Wildcard-Zertifikate werden für Domänen ausgestellt, deren Hostname ein Platzhalterzeichen (*) enthält. Dieses Zeichen kann für eine unbegrenzte Anzahl von Subdomänen stehen.
Neben Ihrer übergeordneten Domäne können mit einem Wildcard-Zertifikat beliebig viele Subdomänen gesichert werden.
Zum besseren Verständnis nehmen wir ein Beispiel:
Angenommen, eine Organisation hat drei Subdomänen:
- www.encryptionconsulting.com
- pki.encryptionconsulting.com
- codesign.encryptionconsulting.com
Die Organisation kann nur ein Wildcard-Zertifikat erwerben, anstatt drei einzelne SSL-Zertifikate für die oben genannten Subdomänen zu besitzen. Zusätzlich zu den bereits vom Wildcard-Zertifikat abgedeckten Subdomänen können ohne zusätzliche Kosten weitere Subdomänen abgedeckt werden.
Wildcard-Zertifikate können auch als Domain Validated (DV)-Zertifikate ausgestellt werden. Diese sind innerhalb weniger Minuten ausgestellt und erfordern einen Nachweis des Domänenbesitzes. Alternativ können Sie ein Organization Validated (OV)-Zertifikat erhalten, das Ihre Unternehmensinformationen in den Zertifikatsdetails enthält. Es erfordert einen Verifizierungsprozess, um die Legitimität Ihrer Website sicherzustellen. Ein Extended Validation (EV)-Zertifikat kann jedoch nicht ausgestellt werden.
Wie andere digitale Zertifikate haben Wildcard-SSL-Zertifikate eine begrenzte Gültigkeitsdauer und erfordern eine effektive Zertifikatsverwaltung. Nach Ablauf eines Zertifikats ist es unerlässlich, dessen Erneuerung und Ersatz an allen relevanten Standorten einzuleiten. Ohne Zertifikatserneuerung sind die zugehörigen Websites über HTTPS nicht mehr erreichbar und Besucher erhalten eine Fehlermeldung.
Bei der Erneuerung eines Wildcard-SSL-Zertifikats ist die Erstellung einer neuen Zertifikatssignieranforderung (CSR) erforderlich, die anschließend bei der zuständigen Zertifizierungsstelle (CA) eingereicht werden muss. Es ist unbedingt erforderlich, ausdrücklich darauf hinzuweisen, dass es sich bei der Erneuerung um ein Wildcard-Zertifikat handelt, da dieses Detail die Erstellung des neuen Zertifikats durch die CA beeinflusst.
Aus Erfahrung lernen: Die Folgen eines Wildcard-Zertifikatsausfalls
Im Mai 2018 kam es bei Epic Games, dem Unternehmen, das für beliebte Videospiele wie Fortnite und Rocket League verantwortlich ist, zu einer erheblichen Servicestörung, die dazu führte, dass sich Millionen von Spielern nicht mehr anmelden und verbinden konnten. Die Ursache? Ein abgelaufener Wildcard-Code. SSL-Zertifikat.
Dieses Zertifikat, das in zahlreichen Produktionsdiensten innerhalb von AWS implementiert war, hatte aufgrund seines Ablaufs weitreichende Folgen. Der Ausfall führte zu weit verbreiteten Unannehmlichkeiten und Irritationen unter den Spielern, was viele dazu veranlasste, ihren Unmut auf Social-Media-Plattformen auszudrücken.
Dieser Vorfall verdeutlicht einen potenziellen Nachteil von Wildcard-Zertifikaten. Da diese Zertifikate zahlreiche Subdomänen mit einem einzigen Zertifikat absichern, kann der Ablauf eines Zertifikats erhebliche Störungen bei verschiedenen Diensten auslösen.
Für diejenigen, die Wildcard-Zertifikate verwenden, ist es wichtig, das Ablaufdatum sorgfältig zu überwachen und die Zertifikate umgehend zu erneuern, um möglichen Komplikationen vorzubeugen. Der Wiederherstellungsprozess für Epic Games dauerte etwa fünfeinhalb Stunden. Bemerkenswerterweise teilte das Unternehmen seine Erfahrungen offen mit, um anderen in der Branche etwas beizubringen, und reagierte schnell, um die Situation zu bereinigen.
Vorteile der Verwendung von Wildcard-SSL-Zertifikaten
Wildcard-SSL-Zertifikate können für Unternehmen, die mehrere Subdomains sichern und gleichzeitig flexibel bleiben möchten, von großem Nutzen sein. Die Verwendung von Wildcard-Zertifikaten bietet folgende Vorteile:
-
Sichern Sie beliebig viele Subdomains
Ohne für jede Subdomäne ein anderes SSL-Zertifikat zu haben, kann ein einzelnes Wildcard-SSL-Zertifikat so viele Subdomänen abdecken, wie Sie möchten.
-
Einfache Zertifikatsverwaltung
Um die wachsende Zahl öffentlich zugänglicher Domänen, Cloud-Workloads und Geräte zu schützen, müssen einzelne SSL-Zertifikate ordnungsgemäß bereitgestellt und verwaltet werden. Mit einem einzigen Wildcard-Zertifikat können Sie jedoch eine unbegrenzte Anzahl von Domänen verwalten, was die Zertifikatsverwaltung vereinfacht.
-
Kosteneinsparung
Ein Wildcard-Zertifikat kostet mehr als ein gewöhnliches SSL-Zertifikat, ist aber im Vergleich zu den Gesamtkosten für die Sicherung aller Ihrer Subdomains mit ihrem Zertifikat eine kostengünstige Alternative.
-
Schnelle und flexible Implementierung
Ein Wildcard-Zertifikat ist eine hervorragende Möglichkeit, neue Websites auf neuen Subdomains zu erstellen, die Ihr bestehendes Zertifikat abdeckt. Sie müssen nicht auf ein neues SSL-Zertifikat warten, was Ihnen Zeit spart und Ihre Markteinführung beschleunigt.
Risiken bei der Verwendung von Wildcard-Zertifikaten
Wildcard-Zertifikate werden häufig verwendet, um alle Domänen mit demselben registrierten Stamm abzudecken. Dies vereinfacht die Verwaltung. Da jedoch derselbe private Schlüssel in zahlreichen Systemen verwendet wird, birgt die Freiheit, die Wildcard-Zertifikate bieten, auch erhebliche Sicherheitsrisiken:
-
Webserver-Sicherheit
Wenn ein Server oder eine Subdomäne gehackt wird, können auch alle Subdomänen gehackt werden.
-
Zugriff auf den privaten Schlüssel
Wenn der private Schlüssel eines Wildcard-Zertifikats kompromittiert wird, kann der Hacker sich für das Wildcard-Zertifikat als jede beliebige Domäne ausgeben.
-
Gefälschte Zertifikate:
Angreifer können eine Zertifizierungsstelle (CA) dazu verleiten, ein Wildcard-Zertifikat für eine Scheinorganisation auszustellen. Sobald der Angreifer die Wildcard-Zertifikate des Scheinunternehmens erhält, kann er Subdomains und Phishing-Sites einrichten.
-
Zertifikatsverwaltung
Alle Subdomänen benötigen ein neues Zertifikat, wenn das Wildcard-Zertifikat widerrufen wird.
Wie kann Encryption Consulting helfen?
Encryption Consulting bietet eine spezialisierte Lösung zur Verwaltung des Zertifikatslebenszyklus CertSecure ManagerVon der Erkennung und Bestandsaufnahme bis hin zu Ausstellung, Bereitstellung, Erneuerung, Widerruf und Berichterstellung. CertSecure bietet eine umfassende Lösung. Intelligente Berichterstellung, Warnmeldungen, Automatisierung, automatische Bereitstellung auf Servern und Zertifikatsregistrierung sorgen für zusätzliche Raffinesse und machen CertSecure zu einem vielseitigen und intelligenten Tool.
Fazit
Im Wesentlichen, während Platzhalterzertifikate Obwohl Wildcard-Zertifikate in bestimmten Szenarien sinnvoll sein können, ist es in den meisten Fällen ratsam, auf deren Einsatz zu verzichten. Wenn Sie sich für ein Wildcard-Zertifikat entscheiden, ist die sichere Generierung und Sicherung des privaten Schlüssels von größter Bedeutung. Darüber hinaus ist ein umfassender Überblick über alle Bereitstellungspunkte des Zertifikats unerlässlich, um eine rechtzeitige Erneuerung und Ersetzung vor Ablauf zu gewährleisten.