SSL WildCard

Wildcard SSL: všetko, čo potrebujete vedieť

Pomenované sú podľa zástupného znaku (hviezdička), v angličtine Wildcard. Hviezdička sa používa na definovanie skupiny subdomén, pre ktoré sa certifikát vzťahuje.

Pre zjednodušenie možno povedať, že hodnota hviezdičky nepresahuje bod. Zároveň nie je možné použiť dve alebo viac hviezdičiek: napríklad nie je možné certifikovať.

Zástupný certifikát je certifikát, ktorý umožňuje neobmedzené použitie SSL na hostiteľov subdomén domény (FQDN). V poslednej dobe sa asi 40% vydávaní certifikátov SSL vydáva pomocou certifikátov Wildcard SSL, čo dokazuje, že je vysoko efektívny.

Dôvod, prečo sa volá Wildcard, je ten, že doména certifikátu (CN a DNS Name) je vo formáte * .mojadomena.com. Je to druh certifikátu Multi / SAN a je rozšírením technológie medzinárodného štandardu RFC X.509. Môžete pochopiť, že predvolené zástupné znaky domény a subdomény sú zahrnuté v položke [Subject Alternative Name-DNS Name] v položke zobrazenia podrobností certifikátu vo webovom prehliadači.

Napríklad: webový prehliadač sa skutočne zobrazuje v certifikáte, certifikát so zástupnými znakmi. Pri prezeraní informácií o certifikáte použitej webovej stránky sa zobrazujú v konkrétnom formáte.

Aj napriek týmto obmedzeniam predstavujú certifikáty zástupných znakov veľmi pohodlný spôsob šifrovania dátového prenosu mnohých subdomén.

Digitálny certifikát SSL

SSL certifikát je elektronický dokument, ktorý zaručuje komunikáciu medzi klientom a serverom treťou stranou. Ihneď po pripojení klienta k serveru odovzdá server túto informáciu o certifikáte klientovi. Klient vykoná nasledujúci postup po overení dôveryhodnosti týchto informácií o certifikáte. Výhody použitia SSL a digitálnych certifikátov SSL sú nasledujúce.

• Je možné zabrániť vystaveniu komunikačného obsahu útočníkom.

• Je možné určiť, či je server, ku ktorému sa klient pripája, dôveryhodný server.

• Môžete zabrániť škodlivej zmene komunikačného obsahu.

   

Príklad vstupu žiadosti o vydanie KN (doména)

Divoká karta:

KN: Musí to byť rovnaký vzor ako * .example.com alebo * .sub2.sub1.sslcert.co.net identifikovaný podľa názvu DNS.

Multi-Wildcard

KN: *. Zadajte FQDN koreňového príkladu example.com ako CN, bez značky.

ex) Ak je reprezentatívnou doménou * .sub.sslcert.co.net, zadajte CN ako sub.sslcert.net

SAN: Domény so zástupnými znakmi vo formáte * .example.com a * .sub.sslert.co.net sú, Ďalšie vstupy sa vykonávajú počas kroku nastavenia DCV počas prihlášky.

Poznámky (upozornenie na chyby)

Pretože iba krok polohy zobrazenia je neobmedzený počet hostiteľov. Formát .sslcert.co.net nie je možný. Nie je možné prihlásiť sa vo viacerých krokoch, ako napríklad:

Hlavné použitie

Pri použití jedného zástupného znaku je SSL výhodnejšie pre zníženie / správu nákladov ako pre vydávanie viacerých subdomén. Každá subdoména je očakávaná nepretržite so zvyšujúcim sa využitím webových služieb a SSL sa aplikuje a prevádzkuje.

Na webovom serveri Ak chcete použiť na všetky webové stránky subdomény s predvoleným portom SSL 443 (nepodporovaný webový server SNI môže viazať iba jeden certifikát na jeden port SSL (napr. 443))

Vložte do jedného certifikátu viac ďalších domén so zástupnými znakmi Ako na to? Na riešenie týchto prípadov existuje produkt s certifikátom SSL Multi-Wildcard. Jeden zástupný znak môže obsahovať iba 1 zástupný znak v certifikáte a viacnásobný zástupný znak môže obsahovať až 250 zástupných znakov v jednom certifikáte.

„Nízkonákladové“ certifikáty zástupných znakov

Prejdime teraz k dostupnej ponuke. Vyhradené pre certifikáty SSL pre subdomény, si môžeme okamžite všimnúť prítomnosť 2 „základnej úrovne“, RapidSSL a Sectigo Essential: jedná sa o certifikáty typu „Domain Validated“, v ktorých je uvedený názov spoločnosti, ktorá ponúkajú nízku záruku, ale môžu byť vydané v krátkom čase, za menej ako hodinu. Odporúčame ich preto tým, ktorí sa ponáhľajú a nemajú žiadne zvláštne nároky.

Certifikáty podnikových zástupných znakov

Spomedzi typov OV (Organization Validated), ktoré sa preto vyznačujú celofiremnou validáciou, by sme chceli odporučiť GeoTrust. V prvom rade je GeoTrust synonymom spoľahlivosti a je jednou z najslávnejších značiek v oblasti webovej bezpečnosti.

Po druhé, v neposlednom rade preto, lebo tento certifikát zástupných znakov ponúka ten, ktorý poskytuje najvyššiu záruku v zriedkavých prípadoch, že dôjde k porušeniu šifrovania. V takom prípade je ponúkaná záruka 1,25 milióna amerických dolárov, čo je dosť na pokojné spanie.

Na záver je potrebné povedať, že v prípade zástupných znakov neexistujú, aspoň v súčasnosti, žiadne certifikáty typu EV (Extended Validated), ktoré by mali byť v prehľadávači zobrazené v zelenom paneli s adresou, spolu s celým menom spoločnosti vlastníka.

V prípade, že potrebujete získať zelený pruh na niektorých subdoménach, musíte sa rozhodnúť pre certifikáty EV pre jednu alebo viac domén (SAN).

Niektoré bežné rozdiely, aby ste pochopili medzi HTTPS a SSL certifikáty:

HTTPS VS HTTP

Skratka HTTP znamená Hypertext Transfer Protocol. Inými slovami, znamená to komunikačný protokol na prenos HTML, ktorým je Hypertext. V HTTPS je posledné S skratkou O ver Secure Socket Layer. Pretože protokol HTTP prenáša dáta nezašifrovaným spôsobom, je veľmi ľahké zachytiť správy odosielané a prijímané serverom a klientom.

Napríklad môže dôjsť k škodlivému odpočúvaniu alebo zmene údajov v procese odosielania hesiel na server na prihlásenie alebo pri čítaní dôležitých dôverných dokumentov. To zaisťuje HTTPS.

HTTPS a SSL

HTTPS a SSL sú často zameniteľné. Toto je správne a nesprávne. Je to ako chápať internet a web v rovnakom zmysle. Záverom možno povedať, že tak ako je web jednou zo služieb bežiacich na internete, HTTPS je protokol bežiaci na protokole SSL.

SSL a TLS

To isté. SSL vymyslel Netscape a ako sa postupne začalo široko používať, premenovalo sa na TLS, keď sa zmenilo na správu štandardizačného orgánu IETF. TLS 1.0 dedí SSL 3.0. Názov SSL sa však používa oveľa viac ako názov TLS.

Typy šifrovania používané protokolom SSL

Kľúčom k SSL je šifrovanie. SSL používa z dôvodu bezpečnosti a výkonu dve kombinované šifrovacie techniky. Aby ste pochopili, ako funguje SSL, musíte porozumieť týmto technikám šifrovania. Ak neviete, ako na to, spôsob fungovania SSL bude pôsobiť abstraktne. Zavedieme šifrovacie techniky používané v SSL, aby ste mohli SSL podrobne porozumieť. Poďme to napadnúť, pretože to nie je len pochopenie SSL, ale aj základné zručnosti IT človeka.

Symetrický kľúč

Typ hesla použitého na šifrovanie, akt vytvorenia hesla, sa nazýva kľúč. Pretože šifrovaný výsledok sa podľa tohto kľúča líši, ak nie je kľúč známy, nemožno vykonať dešifrovanie, ktoré je dešifrovaním šifrovania. Symetrický kľúč označuje šifrovaciu techniku, pri ktorej je možné šifrovanie a dešifrovanie vykonávať rovnakým kľúčom.

Inými slovami, ak ste na šifrovanie použili hodnotu 1234, musíte pri dešifrovaní zadať hodnotu 1234. Aby sme vám pomohli pochopiť, pozrime sa, ako používať openssl na šifrovanie metódou symetrického kľúča. Vykonaním nižšie uvedeného príkazu sa vytvorí súbor plaintext.txt. A budete požiadaní o heslo. Z hesla zadaného v tomto okamihu sa stane symetrický kľúč.

Verejný kľúč

Metóda symetrického kľúča má svoje nevýhody. Je ťažké odovzdať symetrický kľúč medzi ľuďmi, ktorí si vymieňajú heslá. Je to tak preto, že ak dôjde k úniku symetrického kľúča, môže útočník, ktorý kľúč získal, dešifrovať obsah hesla, čím sa stane nepoužiteľným. Metóda šifrovania z tohto pozadia je metóda verejného kľúča.

Metóda verejného kľúča má dva kľúče. Ak je šifrovaná pomocou kľúča A, je možné ju dešifrovať pomocou kľúča B. Ak je šifrovaná pomocou kľúča B, je možné ju dešifrovať pomocou kľúča A.Zameraním na túto metódu je jeden z dvoch kľúčov označený ako súkromný kľúč (tiež nazývaný súkromný kľúč, súkromný kľúč alebo tajný kľúč) a druhý ako verejný kľúč.

Súkromný kľúč vlastní iba človek a verejný kľúč poskytuje iným. Ostatní, ktorým bol poskytnutý verejný kľúč, šifrujú informácie pomocou verejného kľúča. Šifrované informácie sa prenášajú k osobe, ktorá má súkromný kľúč. Vlastník súkromného kľúča používa tento kľúč na dešifrovanie zašifrovaných informácií. Aj keď dôjde počas tohto procesu k úniku verejného kľúča, je to bezpečné, pretože informácie nemožno dešifrovať bez znalosti súkromného kľúča. Je to tak preto, lebo šifrovanie je možné vykonať pomocou verejného kľúča, dešifrovanie však nie je možné.

Certifikát SSL

Úloha certifikátov SSL je pomerne zložitá, takže musíte poznať určité znalosti, aby ste porozumeli mechanizmu certifikátov. Certifikát má dve hlavné funkcie.

Ich pochopenie je kľúčové pre pochopenie certifikátov.

• Zaisťuje, že server, ku ktorému sa klient pripája, je dôveryhodný server.

• Poskytuje verejný kľúč, ktorý sa má použiť na komunikáciu SSL s klientom.

CA.

Úloha certifikátu zaisťuje, že server, ku ktorému sa klient pripája, je server určený klientom. Túto úlohu zohrávajú súkromné ​​spoločnosti, ktoré sa nazývajú CA (certifikačná autorita) alebo koreňový certifikát. CA nie je niečo, čo môže urobiť ktorákoľvek spoločnosť, a zúčastniť sa môžu iba spoločnosti, ktorých dôveryhodnosť je prísne certifikovaná. Medzi nimi sú napríklad reprezentatívne spoločnosti. Čísla zodpovedajú súčasnému podielu na trhu.

• Symantec so 42,9% podielom na trhu

• Comodo s 26%

• GoDaddy so 14%

• GlobalSign so 7,7%

Služby, ktoré chcú poskytovať šifrovanú komunikáciu cez SSL, si musia kúpiť certifikát prostredníctvom CA. CA hodnotí spoľahlivosť služby rôznymi spôsobmi.

Súkromná certifikačná autorita

Ak chcete použiť šifrovanie SSL na vývojové alebo súkromné ​​účely, môžete ako CA vystupovať aj sami. Toto samozrejme nie je certifikovaný certifikát, takže ak používate certifikát súkromnej CA.

Obsah SSL certifikátu

Certifikát SSL obsahuje nasledujúce informácie:

• Informácie o službe (CA, ktorá vydala certifikát, doména služby atď.)

• Verejný kľúč na strane servera (obsah verejného kľúča, metóda šifrovania verejného kľúča)

Prehliadač pozná CA

Aby ste porozumeli certifikátom, musíte vedieť jeden zoznam CA. Prehliadač interne pozná zoznam CA vopred. To znamená, že zdrojový kód prehľadávača obsahuje zoznam CA. Aby sa stal certifikovaným CA, musí byť zahrnutý do zoznamu CA, ktoré prehliadač vopred pozná. Prehliadač už pozná verejný kľúč každej CA spolu so zoznamom CA.