SSL WildCard

Wildcard SSL: όλα όσα πρέπει να γνωρίζετε

Στην πραγματικότητα, πήραν το όνομά τους από τον χαρακτήρα μπαλαντέρ (τον αστερίσκο). Ο αστερίσκος χρησιμοποιείται για τον καθορισμό της ομάδας υποτομέων για τους οποίους ισχύει το πιστοποιητικό.

Για απλοποίηση, μπορούμε να πούμε ότι η τιμή του αστερίσκου δεν υπερβαίνει το σημείο. Ταυτόχρονα, δεν είναι δυνατή η χρήση δύο ή περισσότερων αστερίσκων: για παράδειγμα, δεν είναι δυνατή η πιστοποίηση.

Ένα πιστοποιητικό μπαλαντέρ είναι ένα πιστοποιητικό που επιτρέπει απεριόριστη εφαρμογή SSL σε κεντρικούς υπολογιστές υποτομέα ενός τομέα (FQDN). Πρόσφατα, περίπου το 40% των εκδόσεων πιστοποιητικών SSL εκδίδονται με πιστοποιητικά Wildcard SSL, γεγονός που αποδεικνύει ότι είναι εξαιρετικά αποτελεσματικό.

Ο λόγος που ονομάζεται Wildcard είναι επειδή ο τομέας πιστοποιητικού (CN και DNS Name) έχει τη μορφή * .mydomain.com. Είναι ένα είδος πιστοποιητικού Multi / SAN και είναι μια τεχνολογία επέκτασης του διεθνούς προτύπου RFC X.509. Μπορείτε να καταλάβετε ότι ο προεπιλεγμένος μπαλαντέρ και ο υποτομέας μπαλαντέρ περιλαμβάνονται στο στοιχείο [Subject Alternative Name-DNS Name] στο στοιχείο προβολής λεπτομερειών πιστοποιητικού στο πρόγραμμα περιήγησης ιστού.

Για παράδειγμα: το πρόγραμμα περιήγησης ιστού εμφανίζεται στην πραγματικότητα στο πιστοποιητικό, εμφανίζεται ένα πιστοποιητικό μπαλαντέρ. Κατά την προβολή των πληροφοριών πιστοποιητικού της εφαρμοσμένης ιστοσελίδας, εμφανίζονται με τη συγκεκριμένη μορφή.

Ακόμη και με αυτούς τους περιορισμούς, τα πιστοποιητικά Wildcard αντιπροσωπεύουν μια πολύ βολική μέθοδο για την κρυπτογράφηση της μετάδοσης δεδομένων πολλών υποτομέων.

Ψηφιακό πιστοποιητικό SSL

Το πιστοποιητικό SSL είναι ένα ηλεκτρονικό έγγραφο που εγγυάται την επικοινωνία μεταξύ ενός πελάτη και ενός διακομιστή από τρίτο μέρος. Αμέσως μετά τη σύνδεση του πελάτη με τον διακομιστή, ο διακομιστής διαβιβάζει αυτές τις πληροφορίες πιστοποιητικού στον πελάτη. Ο πελάτης εκτελεί την ακόλουθη διαδικασία αφού επαληθεύσει ότι αυτές οι πληροφορίες πιστοποιητικού είναι αξιόπιστες. Τα πλεονεκτήματα της χρήσης ψηφιακών πιστοποιητικών SSL και SSL έχουν ως εξής.

• Το περιεχόμενο της επικοινωνίας μπορεί να αποτραπεί από την έκθεση σε εισβολείς.

• Είναι δυνατό να προσδιοριστεί εάν ο διακομιστής στον οποίο συνδέεται ο πελάτης είναι αξιόπιστος διακομιστής.

• Μπορείτε να αποτρέψετε κακόβουλη αλλοίωση του περιεχομένου επικοινωνίας.

   

Παράδειγμα εισαγωγής αίτησης για έκδοση CN (domain)

Μπαλαντέρ:

ΣΟ: Πρέπει να έχει το ίδιο μοτίβο με * .example.com ή * .sub2.sub1.sslcert.co.net που προσδιορίζεται από το όνομα DNS.

Πολύ μπαλαντέρ

ΣΟ: *. Εισαγάγετε το example.com root FQDN ως CN, εξαιρουμένου του σήματος.

ex) Εάν * .sub.sslcert.co.net είναι ο αντιπροσωπευτικός τομέας, εισαγάγετε CN ως sub.sslcert.net

ΣΑΝ: Οι τομείς μπαλαντέρ με τη μορφή * .example.com και * .sub.sslert.co.net είναι, Πρόσθετες είσοδοι γίνονται κατά τη διάρκεια του βήματος εγκατάστασης DCV κατά τη διάρκεια της αίτησης.

Σημειώσεις (Προσοχή για σφάλματα)

Δεδομένου ότι μόνο το βήμα της θέσης εμφάνισης είναι απεριόριστοι κεντρικοί υπολογιστές. Η μορφή του .sslcert.co.net δεν είναι δυνατή. Δεν είναι δυνατή η εφαρμογή σε πολλά βήματα όπως:

Κύρια χρήση

Κατά την εφαρμογή ενός Wildcard SSL είναι πιο επωφελές για τη μείωση κόστους / διαχείριση από την έκδοση πολλαπλών υποτομέων κάθε-Όταν υπο-τομείς αναμένεται συνεχώς καθώς αυξάνεται η χρήση της υπηρεσίας διαδικτύου και το SSL εφαρμόζεται και λειτουργεί.

Στον διακομιστή ιστού Εάν θέλετε να κάνετε αίτηση σε όλους τους ιστότοπους υποτομέων με προεπιλεγμένη θύρα 443 SSL (ο μη υποστηριζόμενος διακομιστής ιστού SNI μπορεί να δεσμεύσει μόνο ένα πιστοποιητικό ανά μία θύρα SSL (π.χ., 443))

Τοποθετήστε πολλούς άλλους τομείς μπαλαντέρ σε ένα πιστοποιητικό Πώς να το κάνετε; Για την αντιμετώπιση τέτοιων περιπτώσεων, υπάρχει ένα προϊόν πιστοποιητικού πολλαπλών μπαλαντέρ SSL. Η μεμονωμένη μπαλαντέρ μπορεί να περιέχει μόνο 1 μπαλαντέρ σε ένα πιστοποιητικό και η μπαλαντέρ μπορεί να περιέχει έως και 250 μπαλαντέρ σε 1 πιστοποιητικό.

Πιστοποιητικά μπαλαντέρ "χαμηλού κόστους"

Ας προχωρήσουμε τώρα στη διαθέσιμη προσφορά. Αφιερωμένο σε πιστοποιητικά SSL για δευτερεύοντες τομείς, μπορούμε αμέσως να παρατηρήσουμε την παρουσία 2 "entry-level", του RapidSSL και του Sectigo Essential: αυτά είναι πιστοποιητικά τύπου "Domain Validated", στα οποία το όνομα της εταιρείας, το οποίο προσφέρουν χαμηλή εγγύηση, αλλά μπορούν να εκδοθούν σε σύντομο χρονικό διάστημα, σε λιγότερο από μία ώρα. Επομένως, τους προτείνουμε για όσους βιάζονται και δεν έχουν συγκεκριμένες απαιτήσεις.

Εταιρικά Πιστοποιητικά Wildcard

Μεταξύ εκείνων του τύπου OV (Organized Validated), που χαρακτηρίζονται επομένως από επικύρωση σε επίπεδο εταιρείας, θα θέλαμε να προτείνουμε το GeoTrust. Πρώτα απ 'όλα, το GeoTrust είναι συνώνυμο της αξιοπιστίας, καθώς είναι μία από τις πιο διάσημες μάρκες στον τομέα της ασφάλειας του διαδικτύου.

Δεύτερον, αλλά όχι λιγότερο σημαντικό, επειδή αυτό το πιστοποιητικό Wildcard είναι αυτό που προσφέρει την υψηλότερη εγγύηση στο σπάνιο γεγονός που προκύπτει παραβίαση κρυπτογράφησης. Σε αυτήν την περίπτωση, η εγγύηση που προσφέρεται είναι 1,25 εκατομμύρια δολάρια ΗΠΑ, αρκεί να κοιμηθεί ήσυχα.

Τέλος, πρέπει να ειπωθεί ότι, στην περίπτωση των μπαλαντέρ, δεν υπάρχουν, τουλάχιστον προς το παρόν, πιστοποιητικά τύπου EV (Extended Validated), αυτά που πρέπει να είναι σαφή, που εμφανίζουν την πράσινη γραμμή διευθύνσεων στο πρόγραμμα περιήγησης, μαζί με το πλήρες όνομα της ιδιοκτήτριας εταιρείας.

Σε περίπτωση που χρειαστεί να αποκτήσετε την πράσινη γραμμή σε ορισμένους υποτομείς, θα πρέπει να επιλέξετε πιστοποιητικά EV ενός ή πολλών τομέων (SAN).

Ορισμένες κοινές διαφορές που σας κάνουν να κατανοήσετε μεταξύ HTTPS Πιστοποιητικά SSL:

HTTPS VS HTTP

Το HTTP σημαίνει Hypertext Transfer Protocol. Με άλλα λόγια, αυτό σημαίνει ένα πρωτόκολλο επικοινωνίας για τη μετάδοση HTML που είναι Hypertext. Στο HTTPS, το τελευταίο S είναι μια συντομογραφία του O ver Secure Socket Layer. Επειδή το HTTP μεταδίδει δεδομένα με μη κρυπτογραφημένο τρόπο, είναι πολύ εύκολο να παρακολουθούν μηνύματα που αποστέλλονται και λαμβάνονται από τον διακομιστή και τον πελάτη.

Για παράδειγμα, ενδέχεται να προκύψει κακόβουλη υποκλοπή ή αλλαγή δεδομένων κατά τη διαδικασία αποστολής κωδικών πρόσβασης στον διακομιστή για σύνδεση ή ανάγνωση σημαντικών εμπιστευτικών εγγράφων. Το HTTPS είναι αυτό που το εξασφαλίζει.

HTTPS και SSL

Τα HTTPS και SSL κατανοούνται συχνά εναλλακτικά. Αυτό είναι σωστό και λάθος. Είναι σαν να κατανοείς το Διαδίκτυο και τον Ιστό με την ίδια έννοια. Συμπερασματικά, όπως ο ιστός είναι μία από τις υπηρεσίες που εκτελούνται στο Διαδίκτυο, το HTTPS είναι ένα πρωτόκολλο που εκτελείται στο πρωτόκολλο SSL.

SSL και TLS

Το ίδιο πράγμα. Το SSL εφευρέθηκε από το Netscape και καθώς σταδιακά έγινε ευρέως χρησιμοποιούμενο, μετονομάστηκε TLS καθώς άλλαξε στη διαχείριση του IETF, ενός οργανισμού τυποποίησης. Το TLS 1.0 κληρονομεί το SSL 3.0. Ωστόσο, το όνομα SSL χρησιμοποιείται πολύ περισσότερο από το όνομα TLS.

Τύποι κρυπτογράφησης που χρησιμοποιούνται από το SSL

Το κλειδί για το SSL είναι η κρυπτογράφηση. Το SSL χρησιμοποιεί δύο τεχνικές κρυπτογράφησης σε συνδυασμό για λόγους ασφάλειας και απόδοσης. Για να καταλάβετε πώς λειτουργεί το SSL, πρέπει να κατανοήσετε αυτές τις τεχνικές κρυπτογράφησης. Εάν δεν ξέρετε πώς να το κάνετε αυτό, ο τρόπος λειτουργίας του SSL θα αισθανθεί αφηρημένος. Θα εισαγάγουμε τεχνικές κρυπτογράφησης που χρησιμοποιούνται στο SSL, ώστε να μπορείτε να κατανοήσετε λεπτομερώς το SSL. Ας το αμφισβητήσουμε γιατί αυτό δεν είναι μόνο μια κατανόηση του SSL, αλλά και οι βασικές δεξιότητες ενός ατόμου πληροφορικής.

Συμμετρικό κλειδί

Ο τύπος κωδικού πρόσβασης που χρησιμοποιείται για την κρυπτογράφηση, η πράξη δημιουργίας κωδικού πρόσβασης, ονομάζεται κλειδί. Δεδομένου ότι το κρυπτογραφημένο αποτέλεσμα είναι διαφορετικό σύμφωνα με αυτό το κλειδί, εάν το κλειδί δεν είναι γνωστό, η αποκρυπτογράφηση, η οποία είναι μια πράξη αποκρυπτογράφησης της κρυπτογράφησης, δεν μπορεί να εκτελεστεί. Το συμμετρικό κλειδί αναφέρεται σε μια τεχνική κρυπτογράφησης στην οποία η κρυπτογράφηση και η αποκρυπτογράφηση μπορούν να εκτελεστούν με το ίδιο κλειδί.

Με άλλα λόγια, εάν χρησιμοποιήσατε την τιμή 1234 για κρυπτογράφηση, πρέπει να εισαγάγετε την τιμή 1234 κατά την αποκρυπτογράφηση. Για να σας βοηθήσουμε να καταλάβετε, ας δούμε πώς να χρησιμοποιήσετε το openssl για κρυπτογράφηση με μια μέθοδο συμμετρικού κλειδιού. Η εκτέλεση της παρακάτω εντολής δημιουργεί ένα αρχείο plaintext.txt. Και θα σας ζητηθεί κωδικός πρόσβασης. Ο κωδικός πρόσβασης που έχει εισαχθεί αυτή τη στιγμή γίνεται το συμμετρικό κλειδί.

Δημόσιο κλειδί

Η μέθοδος συμμετρικού κλειδιού έχει τα μειονεκτήματά της. Είναι δύσκολο να περάσει ένα συμμετρικό κλειδί μεταξύ ατόμων που ανταλλάσσουν κωδικούς πρόσβασης. Αυτό συμβαίνει επειδή εάν διαρρεύσει το συμμετρικό κλειδί, ο εισβολέας που έλαβε το κλειδί μπορεί να αποκρυπτογραφήσει τα περιεχόμενα του κωδικού πρόσβασης, καθιστώντας τον κωδικό πρόσβασης άχρηστο. Η μέθοδος κρυπτογράφησης από αυτό το φόντο είναι η μέθοδος δημόσιου κλειδιού.

Η μέθοδος δημόσιου κλειδιού έχει δύο κλειδιά. Εάν είναι κρυπτογραφημένο με το κλειδί Α, μπορεί να αποκρυπτογραφηθεί με το κλειδί Β και εάν είναι κρυπτογραφημένο με το κλειδί Β, μπορεί να αποκρυπτογραφηθεί με το κλειδί A.Εστιάζοντας σε αυτήν τη μέθοδο, ένα από τα δύο κλειδιά ορίζεται ως ιδιωτικό κλειδί (ονομάζεται επίσης ιδιωτικό κλειδί, ιδιωτικό κλειδί ή μυστικό κλειδί) και το άλλο ορίζεται ως δημόσιο κλειδί.

Το ιδιωτικό κλειδί ανήκει μόνο στον εαυτό σας και το δημόσιο κλειδί παρέχεται σε άλλους. Άλλοι που έχουν λάβει το δημόσιο κλειδί κρυπτογραφούν τις πληροφορίες χρησιμοποιώντας το δημόσιο κλειδί. Οι κρυπτογραφημένες πληροφορίες μεταδίδονται στο άτομο που έχει το ιδιωτικό κλειδί. Ο κάτοχος του ιδιωτικού κλειδιού χρησιμοποιεί αυτό το κλειδί για την αποκρυπτογράφηση των κρυπτογραφημένων πληροφοριών. Ακόμα κι αν το δημόσιο κλειδί έχει διαρρεύσει κατά τη διάρκεια αυτής της διαδικασίας, είναι ασφαλές επειδή οι πληροφορίες δεν μπορούν να αποκρυπτογραφηθούν χωρίς να γνωρίζουμε το ιδιωτικό κλειδί. Αυτό συμβαίνει επειδή η κρυπτογράφηση μπορεί να εκτελεστεί με δημόσιο κλειδί, αλλά δεν είναι δυνατή η αποκρυπτογράφηση.

Πιστοποιητικό SSL

Ο ρόλος των πιστοποιητικών SSL είναι αρκετά περίπλοκος, επομένως πρέπει να γνωρίζετε κάποιες γνώσεις για να κατανοήσετε τον μηχανισμό των πιστοποιητικών. Υπάρχουν δύο κύριες λειτουργίες ενός πιστοποιητικού.

Η κατανόηση και των δύο είναι το κλειδί για την κατανόηση των πιστοποιητικών.

• Διασφαλίζει ότι ο διακομιστής στον οποίο συνδέεται ο πελάτης είναι αξιόπιστος διακομιστής.

• Παρέχει το δημόσιο κλειδί που θα χρησιμοποιηθεί για επικοινωνία SSL στον πελάτη.

Π.Α.

Ο ρόλος του πιστοποιητικού διασφαλίζει ότι ο διακομιστής στον οποίο συνδέεται ο πελάτης είναι ο διακομιστής που προορίζεται από τον πελάτη. Υπάρχουν ιδιωτικές εταιρείες που παίζουν αυτόν τον ρόλο και αυτές οι εταιρείες ονομάζονται CA (Certificate Authority) ή Root Certificate. Η CA δεν είναι κάτι που μπορεί να κάνει οποιαδήποτε εταιρεία και μπορούν να συμμετέχουν μόνο εταιρείες των οποίων η αξιοπιστία είναι αυστηρά πιστοποιημένη. Μεταξύ αυτών, οι αντιπροσωπευτικές εταιρείες έχουν ως εξής. Τα στοιχεία είναι το τρέχον μερίδιο αγοράς.

• Symantec με μερίδιο αγοράς 42,9%

• Comodo με 26%

• GoDaddy με 14%

• GlobalSign με 7,7%

Οι υπηρεσίες που θέλουν να παρέχουν κρυπτογραφημένη επικοινωνία μέσω SSL πρέπει να αγοράσουν ένα πιστοποιητικό μέσω μιας ΑΠ Η CA αξιολογεί την αξιοπιστία μιας υπηρεσίας με διάφορους τρόπους.

Ιδιωτική αρχή πιστοποιητικών

Εάν θέλετε να χρησιμοποιήσετε κρυπτογράφηση SSL για αναπτυξιακούς ή ιδιωτικούς σκοπούς, μπορείτε επίσης να ενεργήσετε ως CA. Φυσικά, αυτό δεν είναι πιστοποιημένο πιστοποιητικό, οπότε αν χρησιμοποιείτε ένα ιδιωτικό πιστοποιητικό CA.

Περιεχόμενο του πιστοποιητικού SSL

Το πιστοποιητικό SSL περιέχει τις ακόλουθες πληροφορίες:

• Πληροφορίες υπηρεσίας (ΑΠ που εξέδωσε πιστοποιητικό, τομέας υπηρεσίας κ.λπ.)

• Δημόσιο κλειδί διακομιστή (περιεχόμενο δημόσιου κλειδιού, μέθοδος κρυπτογράφησης δημόσιου κλειδιού)

Το πρόγραμμα περιήγησης γνωρίζει CA

Για να κατανοήσετε τα πιστοποιητικά, ένα πράγμα που πρέπει να γνωρίζετε είναι η λίστα των ΑΠ. Το πρόγραμμα περιήγησης γνωρίζει εσωτερικά τη λίστα των ΑΠ εκ των προτέρων. Αυτό σημαίνει ότι ο πηγαίος κώδικας του προγράμματος περιήγησης περιέχει μια λίστα CA. Για να γίνει πιστοποιημένη ΑΠ, πρέπει να συμπεριληφθεί στη λίστα των ΑΠ που το πρόγραμμα περιήγησης γνωρίζει εκ των προτέρων. Το πρόγραμμα περιήγησης γνωρίζει ήδη το δημόσιο κλειδί κάθε CA μαζί με τη λίστα των CA.