Wat is een Wildcard-certificaat?
A wildcard certificaat (zoals SSL/TLS) is een openbaar sleutelcertificaat dat meerdere subdomeinen binnen een domein kan beschermen en dat gewoonlijk wordt verkregen van een betrouwbare openbare Certificate Authority (CA).
Meerdere subdomeinen voor uw website kunnen uw bedrijf ten goede komen, maar ze kunnen ook lastig te beheren zijn. SSL/TLS-certificaten Om deze subdomeinen te beveiligen, neemt de complexiteit ervan toe. Een wildcardcertificaat kan dit probleem efficiënt oplossen.
Vergeleken met het beheren van afzonderlijke certificaten voor uw subdomeinen, kunt u met een Wildcard-certificaat tijd en geld besparen.
De domeinnaam wordt voorafgegaan door een asterisk en een punt in de wildcard-notatie. Wildcards worden vaak gebruikt in Secure Socket Layer (SSL)-certificaten om SSL-encryptie uit te breiden naar subdomeinen. Een traditioneel SSL-certificaat is slechts geldig voor één domein, zoals www.domein.com. Een *.domein.com wildcard-certificaat beschermt ook cloud.domein.com, shop.domein.com, mobile.domein.com en andere domeinen.
Waarom zou u Wildcard-certificaten gebruiken?
Wildcard-certificaten zijn eenvoudiger in gebruik, omdat organisaties hiermee één enkel certificaat voor alle subdomeinen kunnen gebruiken.
Hier volgen enkele voordelen van het gebruik van wildcardcertificaten:
- Beveilig een willekeurig aantal subdomeinen:
Omdat u niet voor elk subdomein een apart SSL-certificaat nodig hebt, kunt u met één wildcard SSL-certificaat zoveel subdomeinen bestrijken als u wilt.
- Eenvoudig certificaatbeheer:
Individuele SSL-certificaten moeten worden geïmplementeerd en correct worden beheerd om een toenemend aantal openbare domeinen, cloudworkloads en apparaten te beveiligen. Maar met één wildcardcertificaat kunt u een onbeperkt aantal domeinen beheren, wat certificaatbeheer eenvoudiger maakt.
- Kostenbesparing
Een wildcardcertificaat is duurder dan een gewoon SSL-certificaat, maar het is een kosteneffectief alternatief vergeleken met de totale kosten voor het beveiligen van al uw subdomeinen, elk met een eigen certificaat.
- Snelle en flexibele implementatie:
Een wildcardcertificaat is een geweldige manier om nieuwe websites te bouwen op nieuwe subdomeinen die uw bestaande certificaat kan bestrijken. U hoeft niet te wachten op een nieuw SSL-certificaat, wat uw organisatie tijd bespaart en uw time-to-market versnelt.
Potentiële beveiligingsrisico's van wildcardcertificaten
Wanneer een wildcardcertificaat wordt hergebruikt voor meerdere subdomeinen die op verschillende servers worden gehost, ontstaan er extra beveiligingsrisico's voor de bescherming die SSL/TLS-certificaten bieden. Bij een inbreuk op een van de servers zullen kwaadwillenden het certificaat in gevaar brengen. In dat geval komen de vertrouwelijkheid en integriteit van het verkeer naar elke site waar het certificaat wordt gebruikt in gevaar. Een aanvaller die het certificaat bemachtigt, kan het verkeer decoderen, lezen, wijzigen en opnieuw coderen. Dit kan leiden tot het blootleggen van gevoelige informatie en verdere gerichte aanvallen.
Wildcardcertificaten worden vaak gebruikt om alle domeinen met dezelfde geregistreerde root te dekken, wat het beheer eenvoudig maakt. Omdat dezelfde privésleutel echter op meerdere systemen wordt gebruikt, brengt de vrijheid die het gebruik van wildcardcertificaten met zich meebrengt ook ernstige beveiligingsrisico's met zich mee:
- Toegang tot privésleutels:
Als de privésleutel van een wildcard-certificaat wordt gecompromitteerd, kan de hacker zich voordoen als een willekeurig domein voor het wildcard-certificaat.
- Valse certificaten
Aanvallers kunnen een CA ertoe verleiden een wildcardcertificaat uit te geven voor een neporganisatie. Zodra de aanvaller de wildcardcertificaten van het fictieve bedrijf in handen heeft, kan hij subdomeinen en phishingsites opzetten.
- Certificaatbeheer
Voor alle subdomeinen is een nieuw certificaat vereist als het wildcardcertificaat wordt ingetrokken.
- Beveiliging van de webserver
Als één server of subdomein gehackt wordt, kan het zijn dat alle subdomeinen ook gehackt worden.
- Eén enkel punt van falen:
De privésleutel van een wildcardcertificaat is een single point of total compromise. Als die sleutel wordt gecompromitteerd, worden alle beveiligde verbindingen met alle servers en subdomeinen die in het certificaat worden vermeld, gecompromitteerd.
Aanvallers kunnen wildcardcertificaten eenvoudig misbruiken als een organisatie niet over de juiste beveiliging, controle of monitoring beschikt.
Strategie om te overwegen bij het gebruik van Wildcard-certificaten
- Beperk het gebruik van wildcardcertificaten tot een specifiek doel voor een betere beveiligingscontrole.
- Een uitgebreid gesprek met het beveiligingsteam en de directie over het doel van het gebruik van een wildcardcertificaat.
- Begrijp de veiligheidsrisico's.
- Zal deze beslissing efficiënter zijn voor uw organisatie?
- Bent u van plan om een wildcardcertificaat te gebruiken om tijd te besparen?
- Probeert u geld te besparen?
- Houd een nauwkeurige en actuele inventaris bij van de certificaten in uw omgeving. Hierin worden onder andere de sleutellengte, hash-algoritmen, de vervaldatum van certificaten, de locatie van certificaten en de eigenaar van het certificaat vastgelegd.
- Zorg ervoor dat persoonlijke sleutels worden opgeslagen en beschermd volgens de beste praktijken in de sector (bijvoorbeeld door gebruik te maken van een gecertificeerde HSM).
- Automatiseer de processen voor het vernieuwen, intrekken en inrichten van certificaten om onverwachte verlopen certificaten en uitval te voorkomen.
Conclusie
Geen enkele organisatie wil haar merknaam in een situatie brengen waarin het voor aanvallers een fluitje van een cent is om gevoelige informatie te lekken. Hoewel wildcardcertificaten bepaalde voordelen bieden, moet u ervoor zorgen dat u ze bewust en strategisch gebruikt.
