通配符證書提高了靈活性和多功能性，提供了一個有價值的選擇，可幫助您的企業降低成本、提供高效加密并提高可擴展性。本文將解釋什么是通配符證書、它們的工作原理以及使用此類 SSL 證書的好處和潛在的安全風險。

什么是通配符證書？

通配符SSL 證書是一個單一的 SSL/TLS 證書，可以顯著節省時間和成本，特別是對于小型企業。該證書在域名字段中包含一個通配符（*），可以保護主域的多個子域。

通配符證書如何工作？

通配符 SSL 證書涵蓋所有子域名，而不是使用多個證書來保護您的企業的互聯網流量。例如，“*.google.com”的單一通配符證書可用于保護“www.google.com”、“mail.google.com”和“calendar.google.com”。

通配符證書分為兩大類：

• 域驗證 (DV) 證書可以在購買后快速交付，但您必須證明您擁有該域。
• 組織驗證 (OV) 證書只能由注冊企業使用，您的公司信息將放在證書中。但是，您必須通過審查程序才能獲得批準。

通配符 SSL 證書包含一個私鑰，該私鑰在所有子域之間共享。在創建證書期間發出證書簽名請求 (CSR) 時會生成私鑰。如果使用多臺服務器，您將需要在安裝證書時將私鑰復制到每臺服務器上。

SSL 和通配符 SSL 有什么區別？

標準和常規通配符證書都提供重要的加密功能。然而，雖然標準證書適用于單個域或子域，但通配符證書涵蓋多個子域——URL 的初始部分在域名之前。

與通配符證書最相似的證書被稱為主題備用名稱 (SAN) 證書或統一通信證書 (UCC)。與僅涵蓋無限數量的子域的通配符證書相比，UCC/SAN 證書提供了能力將最多 250 個域和子域保護到一個 SSL 證書中（例如，mail.google.com 和 mail.google.co.uk）。這些證書的一個限制是您必須在購買證書時列出所有域/子域。但是，您可以在任何階段使用通配符修改這些內容。

通配符 SSL 專家

通配符 SSL 證書可以輕松保護多個子域，從而提高企業的生產力和效率。例如，通配符提供了根據需要添加子域的靈活性，最大限度地減少了管理時間，并允許您制定更靈活的 IT 策略。通配符 SSL 也比為每個子域購買單獨的證書更具成本效益。相反，單個證書可用于無限數量的子域。

通配符證書的另一個優點是它們可以在多個服務器上使用。例如，如果您計劃將您的電子郵件子域保留在一臺服務器上，而將您的主要面向公眾的網站保留在另一臺服務器上，則可以使用相同的通配符 SSL 來實現。

通配符 SSL 缺點

使用通配符證書幾乎沒有缺點，但主要缺點是安全性。雖然 SSL 證書提供高級別加密（使用 HTTPS 保護網站），但單個證書意味著多個子域只有一個入口點。這可能會帶來欺騙攻擊的風險，黑客會訪問機密數據、傳播有害惡意軟件或操縱現有操作。

在選擇證書時，服務器安全應該是一個關鍵的考慮因素。如果使用多個服務器，這可能會給現有的安全實踐帶來進一步的壓力。安裝證書需要將證書文件復制到服務器，然后將私鑰從主服務器復制到所有其他服務器。因為這涉及極其微妙和有價值的信息的物理移動，它打開了其他攻擊途徑——服務器連接的安全性，以及服務器維護和允許訪問的工作實踐都面臨更大的壓力。

涉及的人越多——從管理域的個人（IT 主管）到注冊商（組織）——受到攻擊的風險就越大。如果私鑰被泄露，所有使用通配符的子域也將被泄露，因為證書可能安裝在組織外部的其他服務器上。

最后，不能在所有驗證級別使用通配符證書。雖然它們可以在域驗證 (DV) 和組織驗證 (OV) 級別自由使用，但不能用于擴展驗證 (EV)。在這種情況下，部署單個證書或多域證書將是有益的。