SSL-wildcard (SSL WildCard)

Wildcard SSL: alles wat u moet weten

Ze zijn genoemd naar het jokerteken (de asterisk), in feite in het Engels jokerteken. De asterisk wordt gebruikt om de groep subdomeinen te definiëren waarvoor het certificaat geldt.

Om het eenvoudiger te maken, kan worden gezegd dat de waarde van de asterisk het punt niet overschrijdt. Tegelijkertijd is het niet mogelijk om twee of meer asterisken te gebruiken: het is bijvoorbeeld niet mogelijk om te certificeren.

Een jokertekencertificaat is een certificaat waarmee onbeperkt SSL kan worden toegepast op subdomeinhosts van een domein (FQDN). Onlangs is ongeveer 40% van de uitgiften van SSL-certificaten uitgegeven met Wildcard SSL-certificaten, wat bewijst dat het zeer effectief is.

De reden dat het Wildcard wordt genoemd, is omdat het certificaatdomein (CN en DNS-naam) de indeling * .mijndomein.com heeft. Het is een soort Multi / SAN-certificaat en is een uitbreidingstechnologie van de internationale RFC-standaard X.509. U begrijpt dat de standaarddomein- en subdomeinjokertekens zijn opgenomen in het item [Alternatieve naam onderwerp-DNS-naam] in het item met certificaatdetails in de webbrowser.

Bijvoorbeeld: webbrowser wordt daadwerkelijk weergegeven in het certificaat, een wildcard-certificaat wordt weergegeven. Bij het bekijken van de certificaatinformatie van de toegepaste webpagina, wordt deze in het specifieke formaat weergegeven.

Zelfs met deze beperkingen vormen Wildcard-certificaten een zeer handige methode voor het versleutelen van de gegevensoverdracht van talrijke subdomeinen.

SSL digitaal certificaat

Een SSL-certificaat is een elektronisch document dat de communicatie tussen een client en een server door een derde partij garandeert. Onmiddellijk nadat de client verbinding heeft gemaakt met de server, geeft de server deze certificaatinformatie door aan de client. De client voert de volgende procedure uit nadat hij heeft gecontroleerd of deze certificaatinformatie vertrouwd is. De voordelen van het gebruik van SSL- en SSL-digitale certificaten zijn als volgt.

• Voorkomen kan worden dat communicatie-inhoud wordt blootgesteld aan aanvallers.

• Het is mogelijk om te bepalen of de server waarmee de client verbinding maakt een vertrouwde server is.

• U kunt kwaadwillige wijziging van communicatie-inhoud voorkomen.

   

Aanvraag voor uitgifte CN (domein) invoervoorbeeld

Jokerteken:

CN: Het moet hetzelfde patroon hebben als * .example.com of * .sub2.sub1.sslcert.co.net geïdentificeerd door de DNS-naam.

Meerdere jokertekens

CN: *. Voer de root-FQDN van example.com in als CN, met uitzondering van het teken.

ex) Als * .sub.sslcert.co.net het representatieve domein is, voer dan CN in als sub.sslcert.net

SAN: Wildcard-domeinen in het formaat * .example.com en * .sub.sslert.co.net zijn. Extra invoer wordt gemaakt tijdens de DCV-installatiestap tijdens het aanvraagformulier.

Opmerkingen (waarschuwing voor fouten)

Omdat alleen de stap van de weergavepositie onbeperkte hosts is. Het formaat van .sslcert.co.net is niet mogelijk. Het is niet mogelijk om in meerdere stappen te solliciteren, zoals:

Hoofdgebruik

Bij het toepassen van één Wildcard is SSL voordeliger voor kostenreductie / beheer dan het uitgeven van meerdere subdomeinen elk. Wanneer er continu subdomeinen worden verwacht naarmate het gebruik van de webservice toeneemt, en SSL wordt toegepast en beheerd.

Op de webserver Als u zich wilt aanmelden voor alle subdomeinwebsites met 443 SSL-standaardpoort (SNI niet-ondersteunde webserver kan slechts één certificaat per SSL-poort binden (bijv. 443))

Plaats meerdere andere wildcard-domeinen in één certificaat. Hoe doe je dat? Om dergelijke gevallen het hoofd te bieden, is er een Multi-Wildcard SSL-certificaatproduct. Een enkel jokerteken kan slechts 1 jokerteken in een certificaat bevatten en een meervoudige jokerteken kan maximaal 250 jokertekens per certificaat bevatten.

"Goedkope" Wildcard-certificaten

Laten we nu verder gaan met het beschikbare aanbod. Toegewijd aan SSL-certificaten voor subdomeinen, kunnen we onmiddellijk de aanwezigheid opmerken van 2 "entry-level", de RapidSSL en de Sectigo Essential: dit zijn certificaten van het type "Domain Validated", waarin de naam van het bedrijf, die bieden een lage garantie, maar kunnen in korte tijd, in minder dan een uur, worden uitgegeven. We raden ze daarom aan voor degenen die haast hebben en geen bijzondere eisen stellen.

Corporate Wildcard-certificaten

Onder degenen van het OV-type (Organization Validated), dus gekenmerkt door bedrijfsbrede validatie, willen we GeoTrust aanbevelen. Allereerst staat GeoTrust synoniem voor betrouwbaarheid, omdat het een van de bekendste merken is op het gebied van webbeveiliging.

Ten tweede, maar niet in de laatste plaats, omdat dit Wildcard-certificaat degene is die de hoogste garantie biedt in het zeldzame geval dat er een encryptie-inbreuk plaatsvindt. In dit geval is de geboden garantie 1,25 miljoen dollar, net genoeg om rustig te slapen.

Ten slotte moet worden gezegd dat er in het geval van Wildcards, althans op dit moment, geen certificaten van het type EV (Extended Validated) beschikbaar zijn, voor alle duidelijkheid, die de groene adresbalk in de browser laten zien, samen met de volledige naam van het eigenaarbedrijf.

Als u op sommige subdomeinen de groene balk nodig heeft, moet u kiezen voor EV-certificaten met één of meerdere domeinen (SAN).

Enkele veelvoorkomende verschillen om u te laten begrijpen tussen HTTPS & amp; SSL-certificaten:

HTTPS versus HTTP

HTTP staat voor Hypertext Transfer Protocol. Met andere woorden, het betekent een communicatieprotocol voor het verzenden van HTML dat Hypertext is. In HTTPS is de laatste S een afkorting van O ver Secure Socket Layer. Omdat HTTP gegevens op een niet-versleutelde manier verzendt, is het heel gemakkelijk om berichten te onderscheppen die door de server en de client worden verzonden en ontvangen.

Er kan bijvoorbeeld kwaadwillig worden afgeluisterd of gegevens worden gewijzigd tijdens het verzenden van wachtwoorden naar de server om in te loggen of tijdens het lezen van belangrijke vertrouwelijke documenten. HTTPS is wat dit beveiligt.

HTTPS en SSL

HTTPS en SSL worden vaak door elkaar begrepen. Dit is goed en fout. Het is alsof je internet en internet in dezelfde zin begrijpt. Concluderend, net zoals internet een van de services is die op internet worden uitgevoerd, is HTTPS een protocol dat wordt uitgevoerd op het SSL-protocol.

SSL en TLS

Hetzelfde. SSL is uitgevonden door Netscape, en aangezien het langzamerhand op grote schaal werd gebruikt, werd het omgedoopt tot TLS omdat het werd gewijzigd in het beheer van IETF, een standaardisatie-instantie. TLS 1.0 neemt SSL 3.0 over. De naam SSL wordt echter veel meer gebruikt dan de naam TLS.

Typen codering die door SSL worden gebruikt

De sleutel tot SSL is codering. SSL gebruikt twee coderingstechnieken in combinatie om veiligheids- en prestatieredenen. Om te begrijpen hoe SSL werkt, moet u deze coderingstechnieken kennen. Als u niet weet hoe u dit moet doen, zal de manier waarop SSL werkt, abstract aanvoelen. We zullen coderingstechnieken introduceren die in SSL worden gebruikt, zodat u SSL in detail kunt begrijpen. Laten we het uitdagen, want dit is niet alleen een begrip van SSL, maar ook de basisvaardigheden van een IT-persoon.

Symmetrische sleutel

Het type wachtwoord dat wordt gebruikt voor codering, het creëren van een wachtwoord, wordt een sleutel genoemd. Aangezien het gecodeerde resultaat verschillend is volgens deze sleutel, kan decodering, wat een handeling is van het decoderen van de codering, niet worden uitgevoerd als de sleutel niet bekend is. Symmetrische sleutel verwijst naar een versleutelingstechniek waarbij versleuteling en ontsleuteling met dezelfde sleutel kunnen worden uitgevoerd.

Met andere woorden, als u de waarde 1234 hebt gebruikt voor codering, moet u de waarde 1234 invoeren bij het decoderen. Om u te helpen begrijpen, laten we eens kijken hoe u openssl kunt gebruiken om te coderen met een symmetrische sleutelmethode. Door de onderstaande opdracht uit te voeren, wordt een bestand in platte tekst gemaakt. En u wordt om een ​​wachtwoord gevraagd. Het wachtwoord dat op dit moment wordt ingevoerd, wordt de symmetrische sleutel.

Publieke sleutel

De symmetrische sleutelmethode heeft zijn nadelen. Het is moeilijk om een ​​symmetrische sleutel door te geven tussen mensen die wachtwoorden uitwisselen. Dit komt doordat als de symmetrische sleutel wordt gelekt, de aanvaller die de sleutel heeft verkregen de inhoud van het wachtwoord kan decoderen, waardoor het wachtwoord onbruikbaar wordt. De versleutelingsmethode van deze achtergrond is de openbare-sleutelmethode.

De openbare-sleutelmethode heeft twee sleutels. Als het is gecodeerd met de A-sleutel, kan het worden gedecodeerd met de B-sleutel, en als het is gecodeerd met de B-sleutel, kan het worden gedecodeerd met de A-sleutel.Als we ons concentreren op deze methode, wordt een van de twee sleutels aangewezen als een privésleutel (ook wel een privésleutel, een privésleutel of een geheime sleutel genoemd), en de andere als een openbare sleutel.

De privésleutel is alleen eigendom van de gebruiker en de openbare sleutel wordt aan anderen verstrekt. Anderen die de openbare sleutel hebben ontvangen, versleutelen de informatie met behulp van de openbare sleutel. Versleutelde informatie wordt verzonden naar de persoon die de privésleutel heeft. De eigenaar van de privésleutel gebruikt deze sleutel om de versleutelde informatie te ontsleutelen. Zelfs als de openbare sleutel tijdens dit proces wordt gelekt, is het veilig omdat informatie niet kan worden ontsleuteld zonder de persoonlijke sleutel te kennen. Dit komt doordat codering kan worden uitgevoerd met een openbare sleutel, maar decodering is niet mogelijk.

SSL-certificaat

De rol van SSL-certificaten is nogal complex, dus u moet enige kennis hebben om het mechanisme van certificaten te begrijpen. Er zijn twee hoofdfuncties van een certificaat.

Het begrijpen van beide is de sleutel tot het begrijpen van certificaten.

• Zorgt ervoor dat de server waarmee de client verbinding maakt een vertrouwde server is.

• Biedt de openbare sleutel die moet worden gebruikt voor SSL-communicatie met de client.

CA

De rol van het certificaat zorgt ervoor dat de server waarmee de client verbinding maakt de server is die door de client is bedoeld. Er zijn particuliere bedrijven die deze rol spelen, en deze bedrijven worden CA (Certificate Authority) of Root Certificate genoemd. CA is niet iets dat elk bedrijf kan doen, en alleen bedrijven waarvan de geloofwaardigheid strikt is gecertificeerd, kunnen deelnemen. Onder hen zijn representatieve bedrijven als volgt. De cijfers zijn het huidige marktaandeel.

• Symantec met een marktaandeel van 42,9%

• Comodo met 26%

• GoDaddy met 14%

• GlobalSign met 7,7%

Services die gecodeerde communicatie via SSL willen bieden, moeten een certificaat aanschaffen via een CA. CA beoordeelt de betrouwbaarheid van een dienst op verschillende manieren.

Private Certificate Authority

Als u SSL-codering wilt gebruiken voor ontwikkelings- of privédoeleinden, kunt u zelf ook als CA optreden. Dit is natuurlijk geen gecertificeerd certificaat, dus als u een privé CA-certificaat gebruikt.

Inhoud van SSL-certificaat

Het SSL-certificaat bevat de volgende informatie:

• Service-informatie (CA die het certificaat heeft uitgegeven, het domein van de service, enz.)

• Openbare sleutel aan serverzijde (inhoud van openbare sleutel, versleutelingsmethode van openbare sleutel)

Browser kent CA

Een ding dat u moet weten om certificaten te begrijpen, is de lijst met CA's. De browser kent van tevoren intern de lijst met CA's. Dit betekent dat de broncode van de browser een lijst met CA's bevat. Om een ​​gecertificeerde CA te worden, moet deze worden opgenomen in de lijst met CA's die de browser van tevoren kent. De browser kent de openbare sleutel van elke CA al, samen met de lijst met CA's.