Wat is een Wildcard-domeincertificaat?

Wat is een Wildcard-certificaat?

Een wildcardcertificaat (zoals SSL/TLS) is een openbaar sleutelcertificaat dat meerdere subdomeinen binnen een domein kan beschermen en dat normaal gesproken wordt verkregen van een vertrouwde openbare certificeringsinstantie (CA). 

Meerdere subdomeinen voor uw website kunnen gunstig zijn voor uw bedrijf, maar kunnen ook lastig te beheren zijn. Meerdere SSL/TLS-certificaten om deze subdomeinen te beveiligen verhogen de complexiteit, maar een wildcardcertificaat kan dit probleem efficiënt oplossen. 

Met een Wildcard-certificaat bespaart u tijd en geld vergeleken met het beheren van afzonderlijke certificaten voor uw subdomeinen. 

 Wildcards worden vaak gebruikt in Secure Socket Layers (SSL)-certificaten om SSL-encryptie uit te breiden naar subdomeinen. Een traditioneel SSL-certificaat is slechts geldig voor één domein, zoals www.domein.com. Een *.domein.com wildcardcertificaat beschermt cloud.domein.com, shop.domein.com, mobile.domein.com en andere domeinen.

Hoe werkt een Wildcard SSL-certificaat? 

Wildcardcertificaten worden uitgegeven aan domeinen met een wildcardteken in hun hostnaam, weergegeven door een asterisk (*). Dit teken kan een oneindig aantal subdomeinen vertegenwoordigen.

Samen met uw bovenliggende domein kunt u met een wildcardcertificaat een willekeurig aantal subdomeinen beveiligen.

Voor een beter begrip, laten we een voorbeeld nemen:

Stel dat een organisatie drie subdomeinen heeft:

• www.encryptionconsulting.com
• pki.encryptionconsulting.com
• codesign.encryptionconsulting.com

De organisatie kan slechts één wildcardcertificaat aanschaffen in plaats van drie afzonderlijke SSL-certificaten voor de bovengenoemde subdomeinen. Naast de subdomeinen die het wildcardcertificaat al dekt, kan het ook meer subdomeinen dekken zonder extra kosten. 

Wildcard-certificaten kunnen ook worden uitgegeven als Domain Validated (DV)-certificaten. Deze zijn binnen enkele minuten beschikbaar en vereisen een bewijs van domeineigendom. U kunt ook een Organization Validated (OV)-certificaat aanvragen, met de gegevens van uw bedrijf in de certificaatdetails. Hiervoor is een verificatieproces vereist om de betrouwbaarheid van uw website te garanderen. Ze kunnen echter niet worden uitgegeven als Extended Validation (EV)-certificaat. 

Net als andere digitale certificaten hebben wildcard SSL-certificaten een beperkte geldigheidsduur en vereisen ze effectief certificaatbeheer. Na het verlopen van een certificaat is het essentieel om de verlenging en vervanging ervan op alle relevante locaties te initiëren. Indien er geen certificaatverlenging plaatsvindt, zijn de bijbehorende websites niet toegankelijk via HTTPS en krijgen bezoekers een foutmelding te zien. 

Bij het verlengen van een wildcard SSL-certificaat is het noodzakelijk om een ​​nieuwe Certificate Signing Request (CSR) aan te maken, gevolgd door het indienen ervan bij de aangewezen certificeringsinstantie (CA). Het is van groot belang om expliciet aan te geven dat de verlenging betrekking heeft op een wildcardcertificaat, aangezien deze informatie van invloed is op de generatie van het nieuwe certificaat door de CA.

Leren van ervaring: de gevolgen van een uitval van een wildcardcertificaat 

In mei 2018 ondervond Epic Games, het bedrijf verantwoordelijk voor populaire videogames zoals Fortnite en Rocket League, een aanzienlijke storing in de service, waardoor miljoenen spelers niet konden inloggen en verbinding konden maken. De onderliggende oorzaak? Een verlopen wildcard. SSL-certificaat. 

Dit certificaat, geïmplementeerd in talloze productieservices binnen AWS, had verstrekkende gevolgen vanwege de verlopen geldigheidsduur. De storing leidde tot wijdverbreid ongemak en irritatie onder gamers, waardoor velen hun ongenoegen uitten op socialemediaplatforms. 

Dit fenomeen onderstreept een mogelijk nadeel van wildcardcertificaten. Omdat deze certificaten meerdere subdomeinen beveiligen met één certificaat, kan het verlopen van één certificaat leiden tot grote verstoringen in verschillende services. 

Voor gebruikers van wildcardcertificaten is het cruciaal om de vervaldatum nauwlettend in de gaten te houden en deze snel te verlengen om mogelijke complicaties te voorkomen. Het herstelproces voor Epic Games duurde ongeveer vijf en een half uur. Opmerkelijk genoeg deelde het bedrijf openlijk de details van hun ervaring als leermoment voor anderen in de branche, en ze handelden snel om de situatie recht te zetten. 

Voordelen van het gebruik van Wildcard SSL-certificaten

Wildcard SSL-certificaten kunnen zeer nuttig zijn voor organisaties die meerdere subdomeinen willen beveiligen en toch flexibel willen blijven. Hieronder volgen enkele voordelen van het gebruik van wildcardcertificaten:

• Beveilig een willekeurig aantal subdomeinen

  Omdat u niet voor elk subdomein een apart SSL-certificaat nodig hebt, kunt u met één wildcard SSL-certificaat zoveel subdomeinen bestrijken als u wilt.

• Eenvoudig certificaatbeheer

  Individuele SSL-certificaten moeten correct worden geïmplementeerd en beheerd om een ​​toenemend aantal openbare domeinen, cloudworkloads en apparaten te beveiligen. Maar met één wildcardcertificaat kunt u een onbeperkt aantal domeinen beheren, wat certificaatbeheer eenvoudiger maakt.

• Kostenbesparing

  Een wildcardcertificaat is duurder dan een gewoon SSL-certificaat, maar het is een kosteneffectief alternatief vergeleken met de totale kosten voor het beveiligen van al uw subdomeinen met hun certificaat.

• Snelle en flexibele implementatie

  Een wildcardcertificaat is een geweldige manier om nieuwe websites te bouwen op nieuwe subdomeinen die uw bestaande certificaat kan bestrijken. U hoeft niet te wachten op een nieuw SSL-certificaat, wat u tijd bespaart en uw time-to-market versnelt.

Risico bij het gebruik van wildcardcertificaten

Wildcardcertificaten worden vaak gebruikt om alle domeinen met dezelfde geregistreerde root te dekken, wat het beheer eenvoudig maakt. Omdat dezelfde privésleutel echter op meerdere systemen wordt gebruikt, brengt de vrijheid die het gebruik van wildcardcertificaten met zich meebrengt ook ernstige beveiligingsrisico's met zich mee:

• Beveiliging van de webserver

  Als één server of subdomein gehackt wordt, kan het zijn dat alle subdomeinen ook gehackt worden.

• Toegang tot de privésleutel

  Als de privésleutel van een wildcard-certificaat wordt gecompromitteerd, kan de hacker zich voordoen als een willekeurig domein voor het wildcard-certificaat.

• Valse certificaten:

  Aanvallers kunnen een certificeringsinstantie (CA) ertoe verleiden een wildcardcertificaat uit te geven aan een neporganisatie. Zodra de aanvaller de wildcardcertificaten van het fictieve bedrijf in handen heeft, kan hij subdomeinen en phishingsites opzetten.

• Certificaatbeheer

  Voor alle subdomeinen is een nieuw certificaat vereist als het wildcardcertificaat wordt ingetrokken.

Hoe kan Encryption Consulting helpen?

Encryption Consulting biedt een gespecialiseerde oplossing voor het beheer van de levenscyclus van certificaten CertSecure ManagerVan detectie en inventarisatie tot uitgifte, implementatie, verlenging, intrekking en rapportage. CertSecure biedt een allesomvattende oplossing. Intelligente rapportgeneratie, waarschuwingen, automatisering, automatische implementatie op servers en certificaatregistratie voegen extra lagen van verfijning toe, waardoor het een veelzijdige en intelligente tool is.

Conclusie

In essentie, terwijl wildcard certificaten Hoewel ze in specifieke scenario's toepasbaar kunnen zijn, is het in de meeste gevallen raadzaam om ze niet te gebruiken. Als u ervoor kiest om een ​​wildcardcertificaat aan te schaffen, is het genereren en veilig bewaren van de privésleutel van cruciaal belang. Bovendien is het essentieel om een ​​volledig overzicht te hebben van alle implementatiepunten voor het certificaat om tijdige verlenging en vervanging vóór de vervaldatum te garanderen.