Obecnie wdrażamy wersję beta API dla naszych usług i chcemy, aby wszystkie żądania / odpowiedzi z interfejsu API działały przez https. Jestem mylić o używaniu zastępczych świadectw dla obu api
i www
adresów URL. Czy warto używać certyfikatu z symbolami wieloznacznymi zarówno dla, jak api.example.com
i dla www.example.com
? Czy są jakieś niedogodności?
Co z tymi certyfikatami tylko na jednym serwerze? Ponieważ jestem wdrażania moje API w n serwerów z równoważenia obciążenia na przód.
https
security-certificate
licorna
źródło
źródło
Odpowiedzi:
Masz rację, użycie certyfikatu z symbolem wieloznacznym to w tym przypadku świetny pomysł. Ułatwi to konfigurację oddzielnych domen i zapewni działanie wszystkich subdomen, które zdecydujesz się dodać.
Istnieje kilka wad:
- Domena najwyższego poziomu nie jest bezpieczna. Jak na razie, certyfikat nie nadaje się do
example.com
.- Są bardzo drogie, zwykle około 1 000 $.
Jeśli chodzi o certyfikaty tylko dla jednego serwera, zależy to od umowy zawartej przy zakupie certyfikatu. Niektóre pozwolą na zainstalowanie certyfikatu na wielu serwerach, inne nie. Nie mam też pojęcia, jak i czy sprawdzają, czy certyfikat jest zainstalowany tylko na jednym serwerze. Być może uda ci się uciec ...
Ponadto, jeśli używasz modułu równoważenia obciążenia, polecam zainstalowanie certyfikatu tam, jeśli twój sprzęt na to pozwala. Wiem, że seria Cisco CSS ma dedykowany moduł sprzętowy, który obsługuje wszystkie szyfrowania i deszyfrowania, oszczędzając trochę pracy na twoich serwerach.
źródło
Jedynym problemem, jaki do tej pory widziałem w przypadku certyfikatów z symbolami zastępczymi, jest to, że nie wydają się one obsługiwać EV. Jest to naprawdę problem, jeśli chcesz, aby fajna przeglądarka Chrome powiedziała „hej, ta strona jest oficjalnie OK i pionowo”. Jeśli szukasz tylko bezpiecznego transportu i nie zależy Ci na zaufaniu klientów do zakupów, wybierz tanią drogę. Lub kup EV dla serwera www i symbol wieloznaczny dla API.
źródło