Vad är ett Wildcard-certifikat?
A jokertecken (som SSL/TLS) är ett certifikat för offentlig nyckel som kan skydda flera underdomäner inom en domän och vanligtvis erhålls från en pålitlig offentlig Certifikatmyndighet (CA).
Flera underdomäner för din webbplats kan gynna ditt företag, men de kan också vara utmanande att hantera. SSL/TLS-certifikat Att säkra dessa underdomäner ökar deras komplexitet, men ett wildcard-certifikat kan effektivt lösa detta problem.
Jämfört med att hantera individuella certifikat för dina underdomäner kan ett Wildcard-certifikat spara dig tid och pengar.
Domännamnet prefixas av en asterisk och en punkt i jokerteckennotation. Jokertecken används ofta i Secure Socket Layer (SSL)-certifikat för att utöka SSL-kryptering till underdomäner. Ett traditionellt SSL-certifikat är endast giltigt för en enda domän, till exempel www.domain.com. Ett *.domain.com jokerteckencertifikat skyddar även cloud.domain.com, shop.domain.com, mobile.domain.com och andra domäner.
Varför ska du använda wildcard-certifikat?
Wildcard-certifikat är enklare att använda eftersom de tillåter organisationer att använda ett enda certifikat för alla underdomäner.
Följande är några fördelar med att använda jokerteckencertifikat:
- Säkra valfritt antal underdomäner:
Utan att ha olika SSL-certifikat för varje underdomän kan ett enda wildcard-SSL-certifikat täcka så många underdomäner som du vill.
- Enkel certifikatadministration:
Enskilda SSL-certifikat måste distribueras och hanteras på lämpligt sätt för att säkra ett ökande antal publika domäner, molnarbetsbelastningar och enheter. Men genom att använda ett enda jokerteckencertifikat kan du hantera ett obegränsat antal domäner, vilket förenklar certifikathanteringen.
- Kostnadsbesparingar
Ett wildcard-certifikat kostar mer än ett vanligt SSL-certifikat, men det blir ett kostnadseffektivt alternativ jämfört med den totala kostnaden för att säkra alla dina underdomäner, var och en med sitt eget certifikat.
- Snabb och flexibel implementering:
Ett wildcard-certifikat är ett utmärkt sätt att bygga nya webbplatser på nya underdomäner som ditt befintliga certifikat kan täcka. Du behöver inte vänta på ett nytt SSL-certifikat, vilket sparar tid för din organisation och snabbar upp din tid till marknaden.
Potentiella säkerhetsrisker med jokerteckenscertifikat
När ett jokerteckencertifikat återanvänds över flera underdomäner som finns på olika servrar, finns det ytterligare säkerhetsproblem med tanke på det skydd som SSL/TLS-certifikat erbjuder. Vid ett intrång på en av servrarna kommer angripare att kompromettera certifikatet. Om så är fallet äventyras sekretessen och integriteten för trafiken till varje webbplats där certifikatet används. En angripare som får tag på certifikatet skulle kunna dekryptera, läsa, modifiera och kryptera trafiken igen. Detta kommer sannolikt att resultera i exponering av känslig information och ytterligare riktade attacker.
Wildcard-certifikat används ofta för att täcka alla domäner med samma registrerade rot, vilket gör administrationen enkel. Men eftersom samma privata nyckel används i många system, kommer friheten som följer med att använda wildcard-certifikat också med allvarliga säkerhetsrisker:
- Åtkomst till privata nycklar:
Om den privata nyckeln för ett jokerteckencertifikat äventyras kan hackaren utge sig för att vara vilken domän som helst för jokerteckencertifikatet.
- Falska certifikat
Angripare kan lura en CA att utfärda ett wildcard-certifikat för en falsk organisation. När angriparen väl får det fiktiva företagets wildcard-certifikat kan de skapa underdomäner och nätfiskewebbplatser.
- Certifikathantering
Alla underdomäner kommer att kräva ett nytt certifikat om jokerteckencertifikatet återkallas.
- Webbserversäkerhet
Om en server eller underdomän blir hackad kan alla underdomäner också bli hackade.
- En enda felpunkt:
Den privata nyckeln för ett jokerteckencertifikat är en enda punkt för total kompromettering. Om nyckeln komprometteras kommer alla säkra anslutningar till alla servrar och underdomäner som listas i certifikatet att äventyras.
Angripare kan enkelt missbruka jokerteckencertifikat om en organisation inte har tillräcklig säkerhet, kontroll eller övervakning.
Strategi att överväga vid användning av jokerteckenscertifikat
- Begränsa användningen av jokerteckenscertifikat till ett specifikt syfte för bättre säkerhetskontroll.
- En detaljerad diskussion med säkerhetsteamet och ledningen om syftet med att använda ett jokerteckencertifikat.
- Förstå säkerhetsriskerna.
- Kommer detta beslut att vara mer effektivt för er organisation?
- Planerar du att använda ett wildcard-certifikat för att spara tid?
- Försöker du spara pengar?
- Håll en korrekt och uppdaterad inventering av certifikat i din miljö, inklusive dokumentation av nyckellängd, hashalgoritmer, certifikatutgångsdatum, certifikatplatser och certifikatägare.
- Säkerställ att privata nycklar lagras och skyddas enligt branschens bästa praxis (dvs. med hjälp av en certifierad HSM).
- Automatisera processer för förnyelse, återkallelse och provisionering av certifikat för att förhindra oväntade utgångar och avbrott.
Slutsats
Ingen organisation vill försätta sitt varumärke i en situation där det är en barnlek för angripare att läcka känslig information. Även om wildcard-certifikat erbjuder vissa fördelar bör du se till att du använder dem medvetet och strategiskt.
