Kiedy warto wybrać certyfikat Wildcard

Opublikowany
przez
Marcin
, 5.06.2008
w Techniczne
.

Niektóre certyfikaty występują w dwóch wersjach: standardowej oraz w wersji wildcard. Wersje różnią się liczbą domen, którym zapewniają ochronę:

  • standardowy certyfikat SSL chroni jedną, konkretną nazwę domeny, na przykład www.domena-klienta.pl
  • wersja wildcard certyfikatu pozwala na ochronę wielu subdomen w ramach jednej domeny (jest wystawiany w postaci *.domena-klienta.pl). Zastanówmy się kiedy warto skorzystać z certyfikatu wildcard, a kiedy nie jest to wskazane

Warto: Cena

Pierwszy argument przemawiający za wyborem certyfikatu wildcard jest jego cena.

Ceny certyfikatów z dnia 5 czerwca 2008, z serwisu Certi.pl, ważność 1 rok:

  • RapidSSL: 100zł, RapidSSL Wildcard: 525zł
  • GeoTrust True BusinessID: 500zł, GeoTrust True BusinessID Wildcard: 1.700zł

Łatwo można policzyć, że jeśli chronionych ma być więcej niż 5 subdomen, to lepiej wybrać RapidSSL Wildcard. Certyfikat GeoTrust True BusinessID zwraca się już przy 4 subdomenach.

Jeśli zamierzasz chronić SSLem kilka subdomen (więcej niż 4-5), to korzystniejsze jest kupno certyfikatu w wersji wildcard.

Warto: Adresy IP

Sposób działania protokołu SSL (https://) wymusza przypisanie do każdego certyfikatu niezależnego adresu IP. Zwracam uwagę, że adres IP jest przypisany do certyfikatu, a nie do domeny.

Uzyskanie dodatkowych adresów IP zwykle jest możliwe, choć często wiąże się z dodatkowym kosztem (firma hostingowa życzy sobie kilku-kilkunastu złotych miesięcznie za każdy adres). Niestety, bywa również tak, że pula adresów jest ściśle przypisana do serwera i nie ma możliwości uzyskania dodatkowej (na przykład serwery dedykowane w OVH).

Dla jednego certyfikatu SSL potrzebujesz dokładnie jednego adresu IP, niezależnie od tego ile subdomen będzie obsługiwał.

Nie warto: Urządzenia mobilne

Urządzenia typu PDA, telefony komórkowe czy smartphone’y słabo radzą sobie z obsługą certyfikatów wildcard. Na przykład Microsoft Windows Mobile 5.0 w ogóle ich nie obsługuje. Jedyna (bardzo głupia) możliwość, to globalne wyłączenie sprawdzania kto jest wystawcą certyfikatu SSL. Windows Mobile 6.0 nie ma już problemów z “wildcardami”.

Użytkownicy starszych urządzeń mobilnych mogą mieć problemy korzystając z usług Twojego serwera, który korzysta z certyfikatu wildcard.

Nie warto: Skomplikowane subdomeny

Przeglądarki Internet Explorer w wersjach 6.0 i 7.0 mają problem z rozpoznawaniem subdomen poziomu wyższego niż pierwszy. Poprawnie działają subdomeny w postaci www.domena-klienta.pl, sklep.domena-klienta.pl, ale problem pojawia się w przypadku domen drugiego i wyższego poziomu, na przykład: www.sklep.domena-klienta.pl. Internet Explorer uzna, że nie są one obsługiwane przez certyfikat. Jest to błąd przeglądarki firmy Microsoft, a nie certyfikatów SSL.

Jeśli zamierzasz chronić wielopoziomowe subdomeny, certyfikat typu wildcard może sprawić problemy w niektórych przeglądarkach.

Nie warto: utrata klucza prywatnego

Załóżmy, że masz 3 fizyczne serwery obsługujące różne subdomeny, które są chronione wspólnym certyfikatem wildcard (serwer ze sklepem internetowym, intranet, serwer poczty). Wystarczy włamanie na jeden z tych serwerów i jeśli atakujący przechwyci parę certyfikat+klucz, to będzie mógł podszyć się pod dowolny z pozostałych serwerów (zastosować typowy atak man in-the-middle). Gdyby zastosować 3 pojedyncze certyfikaty (zakładając, że zgodnie z regułą dla każdego wygenerowany został niezależny klucz prywatny), w niebezpieczeństwie byłby tylko zaatakowany serwer.

Przechwycenie certyfikatu wildcard i jego klucza prywatnego zagrozi wszystkim chronionym domenom.

Podsumowanie

Podsumowując, warto wybrać certyfikat wildcard, jeśli:

  • chronisz więcej niż kilka (4-5) subdomen w tej samej domenie
  • jesteś ograniczony liczbą adresów IP, które możesz przypisać do serwera i masz ich mniej niż subdomen, które chcesz chronić

Jednocześnie należy dobrze przemyśleć wybór certyfikatu wildcard, jeśli:

  • Twoi klienci korzystają z urządzeń mobilnych: PDA, smartphone’ów, telefonów komórkowych
  • zamierzasz chronić subdomeny drugiego i wyższego poziomu
  • chcesz go zainstalować na kilku serwerach, które są krytyczne dla działania całej organizacji

Certyfikaty wildcard w naszej ofercie:

0 odpowiedzi na „Kiedy warto wybrać certyfikat Wildcard”

Feed for this Entry Trackback Address
  1. 1 Co to jest Certificate Signing Request (CSR)? at Blog Certi.pl
    Pingback on 25.06.2008 o 22:36
Comments are currently closed.