SSL-WildCard (SSL WildCard)

Wildcard-SSL: alles, was Sie wissen müssen

Sie sind nach dem Platzhalterzeichen (dem Sternchen) im englischen Platzhalter benannt. Das Sternchen wird verwendet, um die Gruppe von Unterdomänen zu definieren, für die das Zertifikat gilt.

Zur Vereinfachung kann gesagt werden, dass der Wert des Sterns den Punkt nicht überschreitet. Gleichzeitig ist es nicht möglich, zwei oder mehr Sternchen zu verwenden. Beispielsweise ist eine Zertifizierung nicht möglich.

Ein Platzhalterzertifikat ist ein Zertifikat, das die unbegrenzte Anwendung von SSL auf Subdomain-Hosts einer Domain (FQDN) ermöglicht. In letzter Zeit werden etwa 40% der Ausstellungen von SSL-Zertifikaten mit Wildcard-SSL-Zertifikaten ausgestellt, was beweist, dass sie sehr effektiv sind.

Der Grund für den Namen Wildcard liegt darin, dass die Zertifikatdomäne (CN- und DNS-Name) das Format * .mydomain.com hat. Es ist eine Art Multi / SAN-Zertifikat und eine Erweiterungstechnologie des internationalen RFC-Standards X.509. Sie können verstehen, dass die Platzhalter für Standarddomänen und Subdomänen im Element [Alternativer Name des Betreffs - DNS-Name] im Element für die Detailansicht des Zertifikats im Webbrowser enthalten sind.

Beispiel: Webbrowser werden tatsächlich im Zertifikat angezeigt, ein Platzhalterzertifikat wird angezeigt. Wenn Sie die Zertifikatinformationen der angewendeten Webseite anzeigen, werden diese im jeweiligen Format angezeigt.

Trotz dieser Einschränkungen stellen Wildcard-Zertifikate eine sehr bequeme Methode zum Verschlüsseln der Datenübertragung zahlreicher Subdomains dar.

SSL Digitales Zertifikat

Ein SSL-Zertifikat ist ein elektronisches Dokument, das die Kommunikation zwischen einem Client und einem Server durch Dritte garantiert. Unmittelbar nachdem der Client eine Verbindung zum Server hergestellt hat, gibt der Server diese Zertifikatinformationen an den Client weiter. Der Client führt das folgende Verfahren aus, nachdem er überprüft hat, ob diese Zertifikatinformationen vertrauenswürdig sind. Die Verwendung von digitalen SSL- und SSL-Zertifikaten bietet folgende Vorteile.

• Es kann verhindert werden, dass Kommunikationsinhalte Angreifern ausgesetzt werden.

• Es kann festgestellt werden, ob der Server, mit dem der Client eine Verbindung herstellt, ein vertrauenswürdiger Server ist.

• Sie können böswillige Änderungen von Kommunikationsinhalten verhindern.

   

Anwendungsbeispiel für die Ausgabe von CN (Domain)

Platzhalter:

CN: Es muss dasselbe Muster sein wie * .example.com oder * .sub2.sslcert.co.net, das durch den DNS-Namen identifiziert wird.

Multi-Wildcard

CN: *. Geben Sie den Root-FQDN von example.com als CN ohne die Markierung ein.

Bsp.) Wenn * slcert.co.net die repräsentative Domäne ist, geben Sie CN als sub.sslcert.net ein

SAN: Platzhalterdomänen im Format * .example.com und * .slert.co.net sind: Zusätzliche Eingaben werden während des DCV-Einrichtungsschritts während des Antragsformulars vorgenommen.

Hinweise (Vorsicht bei Fehlern)

Da nur der Anzeigepositionsschritt unbegrenzt Hosts ist. Das Format von .sslcert.co.net ist nicht möglich. Es ist nicht möglich, sich in mehreren Schritten zu bewerben, wie zum Beispiel:

Hauptverwendung

Wenn ein Wildcard-SSL angewendet wird, ist dies für die Kostenreduzierung / -verwaltung vorteilhafter als die Ausgabe mehrerer Subdomains. Wenn Subdomains kontinuierlich erwartet werden, wenn die Nutzung des Webdienstes zunimmt, und SSL angewendet und betrieben wird.

Auf dem Webserver Wenn Sie sich auf alle Subdomain-Websites mit 443 SSL-Standardport anwenden möchten (nicht unterstützter SNI-Webserver kann nur ein Zertifikat pro SSL-Port binden (z. B. 443)).

Fügen Sie mehrere andere Platzhalterdomänen in ein Zertifikat ein. Um solche Fälle zu bewältigen, gibt es ein Multi-Wildcard-SSL-Zertifikat. Ein einzelner Platzhalter kann nur 1 Platzhalter in einem Zertifikat enthalten, und ein mehrfacher Platzhalter kann bis zu 250 Platzhalter in einem Zertifikat enthalten.

"Kostengünstige" Wildcard-Zertifikate

Kommen wir nun zum verfügbaren Angebot. SSL-Zertifikaten für Subdomains gewidmet, können wir sofort das Vorhandensein von 2 "Einstiegs", RapidSSL und Sectigo Essential, feststellen: Dies sind Zertifikate vom Typ "Domain Validated", in denen der Name des Unternehmens angegeben ist bieten eine geringe Garantie, können aber in kurzer Zeit in weniger als einer Stunde ausgestellt werden. Wir empfehlen sie daher für diejenigen, die es eilig haben und keine besonderen Anforderungen haben.

Corporate Wildcard-Zertifikate

Unter denen vom Typ OV (Organization Validated), die daher durch eine unternehmensweite Validierung gekennzeichnet sind, möchten wir den GeoTrust empfehlen. Zunächst einmal ist GeoTrust ein Synonym für Zuverlässigkeit und eine der bekanntesten Marken im Bereich der Web-Sicherheit.

Zweitens, aber nicht zuletzt, weil dieses Wildcard-Zertifikat die höchste Garantie für den seltenen Fall bietet, dass eine Verschlüsselungsverletzung auftritt. In diesem Fall beträgt die angebotene Garantie 1,25 Millionen US-Dollar, gerade genug, um ruhig zu schlafen.

Schließlich muss gesagt werden, dass im Fall von Wildcards zumindest im Moment keine Zertifikate vom Typ EV (Extended Validated) verfügbar sind, die, um klar zu sein, die grüne Adressleiste im Browser anzeigen. zusammen mit dem vollständigen Namen der Eigentümerfirma.

Wenn Sie in einigen Subdomains die grüne Leiste erhalten möchten, müssen Sie sich für SAN-EV-Zertifikate (Single oder Multi-Domain) entscheiden.

Einige häufige Unterschiede, die Sie zwischen HTTPS & amp; SSL-Zertifikate:

HTTPS VS HTTP

HTTP steht für Hypertext Transfer Protocol. Mit anderen Worten bedeutet es ein Kommunikationsprotokoll zum Übertragen von HTML, das Hypertext ist. In HTTPS ist das letzte S eine Abkürzung für Over Secure Socket Layer. Da HTTP Daten unverschlüsselt überträgt, ist es sehr einfach, vom Server und vom Client gesendete und empfangene Nachrichten abzufangen.

Beispielsweise kann beim Senden von Kennwörtern an den Server zum Anmelden oder Lesen wichtiger vertraulicher Dokumente böswilliges Abhören oder Ändern von Daten auftreten. HTTPS sichert dies.

HTTPS und SSL

HTTPS und SSL werden oft synonym verstanden. Das ist richtig und falsch. Es ist, als würde man das Internet und das Web im gleichen Sinne verstehen. Zusammenfassend ist HTTPS ein Protokoll, das auf dem SSL-Protokoll ausgeführt wird, genau wie das Web einer der im Internet ausgeführten Dienste ist.

SSL und TLS

Das gleiche. SSL wurde von Netscape erfunden und mit zunehmender Verbreitung in TLS umbenannt, da es in die Verwaltung von IETF, einem Standardisierungsgremium, geändert wurde. TLS 1.0 erbt SSL 3.0. Der Name SSL wird jedoch viel häufiger verwendet als der Name TLS.

Von SSL verwendete Verschlüsselungsarten

Der Schlüssel zu SSL ist die Verschlüsselung. SSL verwendet aus Sicherheits- und Leistungsgründen zwei Verschlüsselungstechniken in Kombination. Um zu verstehen, wie SSL funktioniert, müssen Sie diese Verschlüsselungstechniken verstehen. Wenn Sie nicht wissen, wie das geht, wird sich die Funktionsweise von SSL abstrakt anfühlen. Wir werden Verschlüsselungstechniken einführen, die in SSL verwendet werden, damit Sie SSL im Detail verstehen können. Lassen Sie es uns herausfordern, denn dies ist nicht nur ein Verständnis von SSL, sondern auch die grundlegenden Fähigkeiten einer IT-Person.

Symmetrischer Schlüssel

Die Art des für die Verschlüsselung verwendeten Kennworts, das Erstellen eines Kennworts, wird als Schlüssel bezeichnet. Da das verschlüsselte Ergebnis gemäß diesem Schlüssel unterschiedlich ist, kann keine Entschlüsselung durchgeführt werden, bei der der Schlüssel nicht bekannt ist. Dies ist ein Vorgang zum Entschlüsseln der Verschlüsselung. Symmetrischer Schlüssel bezieht sich auf eine Verschlüsselungstechnik, bei der Ver- und Entschlüsselung mit demselben Schlüssel durchgeführt werden können.

Mit anderen Worten, wenn Sie den Wert 1234 für die Verschlüsselung verwendet haben, müssen Sie beim Entschlüsseln den Wert 1234 eingeben. Schauen wir uns zum besseren Verständnis an, wie Sie openssl zum Verschlüsseln mit einer symmetrischen Schlüsselmethode verwenden. Durch Ausführen des folgenden Befehls wird eine Datei "plaintext.txt" erstellt. Und Sie werden nach einem Passwort gefragt. Das zu diesem Zeitpunkt eingegebene Passwort wird zum symmetrischen Schlüssel.

Öffentlicher Schlüssel

Die symmetrische Schlüsselmethode hat ihre Nachteile. Es ist schwierig, einen symmetrischen Schlüssel zwischen Personen zu übergeben, die Kennwörter austauschen. Dies liegt daran, dass der Angreifer, der den Schlüssel erhalten hat, den Inhalt des Kennworts entschlüsseln kann, wenn der symmetrische Schlüssel durchgesickert ist, wodurch das Kennwort unbrauchbar wird. Die Verschlüsselungsmethode vor diesem Hintergrund ist die Public-Key-Methode.

Die Public-Key-Methode verfügt über zwei Schlüssel. Wenn es mit dem A-Schlüssel verschlüsselt ist, kann es mit dem B-Schlüssel entschlüsselt werden, und wenn es mit dem B-Schlüssel verschlüsselt wird, kann es mit dem A-Schlüssel entschlüsselt werden.Bei dieser Methode wird einer der beiden Schlüssel als privater Schlüssel (auch als privater Schlüssel, privater Schlüssel oder geheimer Schlüssel bezeichnet) und der andere als öffentlicher Schlüssel bezeichnet.

Der private Schlüssel gehört nur Ihnen selbst, und der öffentliche Schlüssel wird anderen zur Verfügung gestellt. Andere, denen der öffentliche Schlüssel zur Verfügung gestellt wurde, verschlüsseln die Informationen mit dem öffentlichen Schlüssel. Verschlüsselte Informationen werden an die Person übertragen, die über den privaten Schlüssel verfügt. Der Besitzer des privaten Schlüssels verwendet diesen Schlüssel, um die verschlüsselten Informationen zu entschlüsseln. Selbst wenn der öffentliche Schlüssel während dieses Vorgangs durchgesickert ist, ist dies sicher, da Informationen nicht entschlüsselt werden können, ohne den privaten Schlüssel zu kennen. Dies liegt daran, dass die Verschlüsselung mit einem öffentlichen Schlüssel durchgeführt werden kann, eine Entschlüsselung jedoch nicht möglich ist.

SSL-Zertifikat

Die Rolle von SSL-Zertifikaten ist ziemlich komplex, daher müssen Sie einige Kenntnisse kennen, um den Mechanismus von Zertifikaten zu verstehen. Es gibt zwei Hauptfunktionen eines Zertifikats.

Das Verständnis dieser beiden Faktoren ist der Schlüssel zum Verständnis von Zertifikaten.

• Stellt sicher, dass der Server, mit dem der Client eine Verbindung herstellt, ein vertrauenswürdiger Server ist.

• Stellt den öffentlichen Schlüssel bereit, der für die SSL-Kommunikation mit dem Client verwendet werden soll.

CA.

Die Rolle des Zertifikats stellt sicher, dass der Server, zu dem der Client eine Verbindung herstellt, der vom Client beabsichtigte Server ist. Es gibt private Unternehmen, die diese Rolle spielen, und diese Unternehmen werden als CA (Certificate Authority) oder Root Certificate bezeichnet. CA kann kein Unternehmen, und nur Unternehmen, deren Glaubwürdigkeit streng zertifiziert ist, können teilnehmen. Unter ihnen sind repräsentative Unternehmen wie folgt. Die Zahlen sind aktuelle Marktanteile.

• Symantec mit 42,9% Marktanteil

• Comodo mit 26%

• GoDaddy mit 14%

• GlobalSign mit 7,7%

Dienste, die eine verschlüsselte Kommunikation über SSL bereitstellen möchten, müssen ein Zertifikat über eine Zertifizierungsstelle erwerben. CA bewertet die Zuverlässigkeit eines Dienstes auf verschiedene Weise.

Private Zertifizierungsstelle

Wenn Sie die SSL-Verschlüsselung für Entwicklungs- oder private Zwecke verwenden möchten, können Sie auch selbst als Zertifizierungsstelle fungieren. Dies ist natürlich kein zertifiziertes Zertifikat. Wenn Sie also das Zertifikat einer privaten Zertifizierungsstelle verwenden.

Inhalt des SSL-Zertifikats

Das SSL-Zertifikat enthält die folgenden Informationen:

• Dienstinformationen (Zertifizierungsstelle, die das Zertifikat ausgestellt hat, Dienstdomäne usw.)

• Serverseitiger öffentlicher Schlüssel (Inhalt des öffentlichen Schlüssels, Verschlüsselungsmethode des öffentlichen Schlüssels)

Browser kennt CA

Um Zertifikate zu verstehen, müssen Sie die Liste der Zertifizierungsstellen kennen. Der Browser kennt die Liste der Zertifizierungsstellen intern im Voraus. Dies bedeutet, dass der Quellcode des Browsers eine Liste von Zertifizierungsstellen enthält. Um eine zertifizierte Zertifizierungsstelle zu werden, muss sie in die Liste der Zertifizierungsstellen aufgenommen werden, die der Browser im Voraus kennt. Der Browser kennt bereits den öffentlichen Schlüssel jeder Zertifizierungsstelle zusammen mit der Liste der Zertifizierungsstellen.