SSL ไวลด์การ์ด (SSL WildCard)

Wildcard SSL: ทุกสิ่งที่คุณจำเป็นต้องรู้

พวกเขาตั้งชื่อตามอักขระตัวแทน (เครื่องหมายดอกจัน) ในภาษาอังกฤษ Wildcard เครื่องหมายดอกจันใช้เพื่อกำหนดกลุ่มของโดเมนย่อยที่ใช้ใบรับรอง

เพื่อให้ง่ายขึ้นอาจกล่าวได้ว่าค่าของเครื่องหมายดอกจันไม่เกินจุด ในขณะเดียวกันก็ไม่สามารถใช้เครื่องหมายดอกจันสองตัวขึ้นไปได้เช่นไม่สามารถรับรองได้

ใบรับรองตัวแทนคือใบรับรองที่อนุญาตให้ใช้ SSL กับโฮสต์โดเมนย่อยของโดเมน (FQDN) ได้ไม่ จำกัด เมื่อเร็ว ๆ นี้การออกใบรับรอง SSL ประมาณ 40% จะออกใบรับรอง Wildcard SSL ซึ่งพิสูจน์ได้ว่ามีประสิทธิภาพสูง

สาเหตุที่ชื่อ Wildcard เป็นเพราะโดเมนใบรับรอง (CN และ DNS Name) อยู่ในรูปแบบ * .mydomain.com เป็นใบรับรอง Multi / SAN และเป็นเทคโนโลยีส่วนขยายของมาตรฐานสากล RFC X.509 คุณสามารถเข้าใจว่าโดเมนเริ่มต้นและสัญลักษณ์แทนโดเมนย่อยรวมอยู่ในรายการ [Subject Alternative Name-DNS Name] ในรายการมุมมองรายละเอียดใบรับรองในเว็บเบราว์เซอร์

ตัวอย่างเช่น: เว็บเบราว์เซอร์แสดงอยู่ในใบรับรองจริงใบรับรองตัวแทนจะแสดงขึ้น เมื่อดูข้อมูลใบรับรองของหน้าเว็บที่ใช้จะแสดงในรูปแบบเฉพาะ

แม้จะมีข้อ จำกัด เหล่านี้ใบรับรอง Wildcard ยังเป็นวิธีที่สะดวกมากในการเข้ารหัสการส่งข้อมูลของโดเมนย่อยจำนวนมาก

ใบรับรองดิจิทัล SSL

ใบรับรอง SSL เป็นเอกสารอิเล็กทรอนิกส์ที่รับประกันการสื่อสารระหว่างไคลเอนต์และเซิร์ฟเวอร์โดยบุคคลที่สาม ทันทีหลังจากไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์เซิร์ฟเวอร์จะส่งข้อมูลใบรับรองนี้ไปยังไคลเอนต์ ไคลเอ็นต์ดำเนินการตามขั้นตอนต่อไปนี้หลังจากตรวจสอบว่าข้อมูลใบรับรองนี้เชื่อถือได้ ข้อดีของการใช้ใบรับรองดิจิทัล SSL และ SSL มีดังต่อไปนี้

• เนื้อหาการสื่อสารสามารถป้องกันไม่ให้ถูกโจมตีจากผู้โจมตี

• เป็นไปได้ที่จะตรวจสอบว่าเซิร์ฟเวอร์ที่ไคลเอ็นต์เชื่อมต่อเป็นเซิร์ฟเวอร์ที่เชื่อถือได้หรือไม่

• คุณสามารถป้องกันการเปลี่ยนแปลงเนื้อหาการสื่อสารที่เป็นอันตรายได้

   

แอปพลิเคชันสำหรับการออก CN (โดเมน) ตัวอย่างการป้อนข้อมูล

สัญลักษณ์แทน:

CN: ต้องเป็นรูปแบบเดียวกับ * .example.com หรือ * .sub2.sub1.sslcert.co.net ที่ระบุโดย DNS Name

Multi-Wildcard

CN: *. ป้อนราก FQDN ของ example.com เป็น CN โดยไม่รวมเครื่องหมาย

เช่น) ถ้า * .sub.sslcert.co.net เป็นโดเมนตัวแทนให้ป้อน CN เป็น sub.sslcert.net

SAN: โดเมนสัญลักษณ์แทนในรูปแบบ * .example.com และ * .sub.sslert.co.net มีการป้อนข้อมูลเพิ่มเติมระหว่างขั้นตอนการตั้งค่า DCV ระหว่างแบบฟอร์มใบสมัคร

หมายเหตุ (ข้อควรระวังสำหรับข้อผิดพลาด)

เนื่องจากเฉพาะขั้นตอนตำแหน่งที่แสดงเป็นโฮสต์ที่ไม่ จำกัด ไม่สามารถใช้รูปแบบของ. sslcert.co.net ได้ ไม่สามารถสมัครได้หลายขั้นตอนเช่น:

การใช้งานหลัก

เมื่อใช้ Wildcard SSL หนึ่งตัวจะมีข้อได้เปรียบในการลดต้นทุน / การจัดการมากกว่าการออกโดเมนย่อยหลาย ๆ โดเมน - เมื่อโดเมนย่อยถูกคาดหวังอย่างต่อเนื่องเมื่อการใช้บริการเว็บเพิ่มขึ้นและ SSL จะถูกนำไปใช้และดำเนินการ

บนเว็บเซิร์ฟเวอร์หากคุณต้องการใช้กับเว็บไซต์โดเมนย่อยทั้งหมดที่มีพอร์ตเริ่มต้น 443 SSL (เว็บเซิร์ฟเวอร์ที่ไม่รองรับ SNI สามารถผูกใบรับรองได้เพียงหนึ่งใบรับรองต่อหนึ่งพอร์ต SSL (เช่น 443))

ใส่โดเมนตัวแทนอื่น ๆ หลายโดเมนในใบรับรองเดียวทำอย่างไร? เพื่อรับมือกับกรณีดังกล่าวมีผลิตภัณฑ์ใบรับรอง SSL แบบ Multi-Wildcard สัญลักษณ์แทนเดียวสามารถมีสัญลักษณ์แทนได้เพียง 1 รายการในใบรับรองและสัญลักษณ์แทนหลายตัวสามารถมีสัญลักษณ์แทนได้สูงสุด 250 รายการในใบรับรอง 1 ฉบับ

ใบรับรองตัวแทน "ต้นทุนต่ำ"

ตอนนี้ไปยังข้อเสนอที่มีอยู่ เฉพาะสำหรับใบรับรอง SSL สำหรับโดเมนย่อยเราสามารถสังเกตเห็นได้ทันทีว่ามี "ระดับรายการ" 2 รายการคือ RapidSSL และ Sectigo Essential ซึ่งเป็นใบรับรองประเภท "Domain Validated" ซึ่งเป็นชื่อของ บริษัท ซึ่ง เสนอการรับประกันต่ำ แต่สามารถออกได้ในเวลาอันสั้นภายในเวลาไม่ถึงหนึ่งชั่วโมง ดังนั้นเราขอแนะนำสำหรับผู้ที่เร่งรีบและไม่มีความต้องการเป็นพิเศษ

ใบรับรองตัวแทนองค์กร

ในบรรดาประเภท OV (Organization Validated) ดังนั้นจึงมีลักษณะการตรวจสอบความถูกต้องทั่วทั้ง บริษัท เราขอแนะนำ GeoTrust ประการแรก GeoTrust มีความหมายเหมือนกันกับความน่าเชื่อถือซึ่งเป็นหนึ่งในแบรนด์ที่มีชื่อเสียงที่สุดในด้านความปลอดภัยของเว็บ

ประการที่สอง แต่ไม่ท้ายสุดเนื่องจากใบรับรอง Wildcard นี้เป็นใบรับรองที่ให้การรับประกันสูงสุดในกรณีที่เกิดการละเมิดการเข้ารหัส ในกรณีนี้การรับประกันที่เสนอคือ 1.25 ล้านเหรียญสหรัฐเพียงพอที่จะนอนหลับอย่างสงบ

สุดท้ายนี้ต้องบอกว่าในกรณีของ Wildcards ไม่มีใบรับรองประเภท EV (Extended Validated) ให้ชัดเจนซึ่งแสดงแถบที่อยู่สีเขียวในเบราว์เซอร์ พร้อมกับชื่อเต็มของ บริษัท เจ้าของ

ในกรณีที่คุณต้องการรับแถบสีเขียวในบางโดเมนย่อยคุณต้องเลือกใช้ใบรับรอง EV เดียวหรือหลายโดเมน (SAN)

ความแตกต่างทั่วไปบางประการเพื่อให้คุณเข้าใจระหว่าง HTTPS & amp; ใบรับรอง SSL:

HTTPS VS HTTP

HTTP ย่อมาจาก Hypertext Transfer Protocol กล่าวอีกนัยหนึ่งหมายถึงโปรโตคอลการสื่อสารสำหรับการส่ง HTML ที่เป็นไฮเปอร์เท็กซ์ ใน HTTPS S สุดท้ายเป็นตัวย่อของ O ver Secure Socket Layer เนื่องจาก HTTP ส่งข้อมูลด้วยวิธีที่ไม่เข้ารหัสจึงเป็นเรื่องง่ายมากที่จะสกัดกั้นข้อความที่เซิร์ฟเวอร์และไคลเอนต์ส่งและรับ

ตัวอย่างเช่นการดักฟังหรือการเปลี่ยนแปลงข้อมูลที่เป็นอันตรายอาจเกิดขึ้นในกระบวนการส่งรหัสผ่านไปยังเซิร์ฟเวอร์เพื่อเข้าสู่ระบบหรืออ่านเอกสารลับที่สำคัญ HTTPS คือสิ่งที่ช่วยปกป้องสิ่งนี้

HTTPS และ SSL

HTTPS และ SSL มักจะเข้าใจสลับกันได้ สิ่งนี้ถูกและผิด มันเหมือนกับการเข้าใจอินเทอร์เน็ตและเว็บในแง่เดียวกัน สรุปได้ว่าเว็บเป็นหนึ่งในบริการที่ทำงานบนอินเทอร์เน็ต HTTPS เป็นโปรโตคอลที่ทำงานบนโปรโตคอล SSL

SSL และ TLS

สิ่งเดียวกัน. SSL ถูกคิดค้นโดย Netscape และเมื่อค่อยๆมีการใช้กันอย่างแพร่หลายจึงเปลี่ยนชื่อเป็น TLS เมื่อเปลี่ยนเป็นการจัดการ IETF ซึ่งเป็นหน่วยงานมาตรฐาน TLS 1.0 สืบทอด SSL 3.0 อย่างไรก็ตามชื่อ SSL ถูกใช้มากกว่าชื่อ TLS

ประเภทของการเข้ารหัสที่ใช้โดย SSL

กุญแจสำคัญของ SSL คือการเข้ารหัส SSL ใช้เทคนิคการเข้ารหัสสองแบบร่วมกันเพื่อเหตุผลด้านความปลอดภัยและประสิทธิภาพ เพื่อให้เข้าใจว่า SSL ทำงานอย่างไรคุณต้องเข้าใจเทคนิคการเข้ารหัสเหล่านี้ หากคุณไม่รู้ว่าจะทำอย่างไรวิธีการทำงานของ SSL จะรู้สึกเป็นนามธรรม เราจะแนะนำเทคนิคการเข้ารหัสที่ใช้ใน SSL เพื่อให้คุณเข้าใจ SSL โดยละเอียด มาท้าทายกันเลยเพราะนี่ไม่ใช่แค่ความเข้าใจ SSL เท่านั้น แต่ยังรวมถึงทักษะพื้นฐานของคนไอทีด้วย

คีย์สมมาตร

ประเภทของรหัสผ่านที่ใช้ในการเข้ารหัสการสร้างรหัสผ่านเรียกว่าคีย์ เนื่องจากผลลัพธ์ที่เข้ารหัสแตกต่างกันไปตามคีย์นี้หากไม่ทราบคีย์จะไม่สามารถทำการถอดรหัสซึ่งเป็นการถอดรหัสการเข้ารหัสได้ คีย์สมมาตรหมายถึงเทคนิคการเข้ารหัสที่สามารถเข้ารหัสและถอดรหัสได้ด้วยคีย์เดียวกัน

กล่าวอีกนัยหนึ่งคือหากคุณใช้ค่า 1234 ในการเข้ารหัสคุณต้องป้อนค่า 1234 เมื่อทำการถอดรหัส เพื่อช่วยให้คุณเข้าใจเรามาดูวิธีใช้ openssl เพื่อเข้ารหัสด้วยวิธีคีย์สมมาตร การดำเนินการคำสั่งด้านล่างจะสร้างไฟล์ plaintext.txt และคุณจะถูกถามรหัสผ่าน รหัสผ่านที่ป้อนในเวลานี้จะกลายเป็นคีย์สมมาตร

คีย์สาธารณะ

วิธีคีย์สมมาตรมีข้อเสีย เป็นเรื่องยากที่จะส่งคีย์สมมาตรระหว่างผู้ที่แลกเปลี่ยนรหัสผ่าน เนื่องจากหากคีย์สมมาตรรั่วผู้โจมตีที่ได้รับคีย์จะสามารถถอดรหัสเนื้อหาของรหัสผ่านทำให้รหัสผ่านนั้นไร้ประโยชน์ วิธีการเข้ารหัสจากพื้นหลังนี้คือวิธีการคีย์สาธารณะ

วิธีการคีย์สาธารณะมีสองคีย์ หากเข้ารหัสด้วยคีย์ A ก็สามารถถอดรหัสได้ด้วยคีย์ B และหากเข้ารหัสด้วยคีย์ B ก็สามารถถอดรหัสได้ด้วยคีย์ Aโดยเน้นที่วิธีนี้หนึ่งในสองคีย์จะถูกกำหนดให้เป็นคีย์ส่วนตัว (เรียกอีกอย่างว่าคีย์ส่วนตัวคีย์ส่วนตัวหรือคีย์ลับ) และอีกคีย์ถูกกำหนดให้เป็นคีย์สาธารณะ

คีย์ส่วนตัวเป็นของตนเองเท่านั้นและคีย์สาธารณะจะมอบให้กับผู้อื่น คนอื่น ๆ ที่ได้รับคีย์สาธารณะจะเข้ารหัสข้อมูลโดยใช้คีย์สาธารณะ ข้อมูลที่เข้ารหัสจะถูกส่งไปยังผู้ที่มีคีย์ส่วนตัว เจ้าของคีย์ส่วนตัวใช้คีย์นี้ในการถอดรหัสข้อมูลที่เข้ารหัส แม้ว่าคีย์สาธารณะจะรั่วไหลในระหว่างขั้นตอนนี้ แต่ก็ปลอดภัยเนื่องจากไม่สามารถถอดรหัสข้อมูลได้โดยไม่ทราบว่าคีย์ส่วนตัว เนื่องจากการเข้ารหัสสามารถทำได้ด้วยคีย์สาธารณะ แต่ไม่สามารถถอดรหัสได้

ใบรับรอง SSL

บทบาทของใบรับรอง SSL ค่อนข้างซับซ้อนดังนั้นคุณจำเป็นต้องทราบความรู้เพื่อทำความเข้าใจกลไกของใบรับรอง ใบรับรองมีหน้าที่หลักสองประการ

การทำความเข้าใจทั้งสองอย่างนี้เป็นกุญแจสำคัญในการทำความเข้าใจใบรับรอง

• ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่ไคลเอ็นต์เชื่อมต่อเป็นเซิร์ฟเวอร์ที่เชื่อถือได้

• จัดเตรียมคีย์สาธารณะที่จะใช้สำหรับการสื่อสาร SSL กับไคลเอ็นต์

CA

บทบาทของใบรับรองช่วยให้มั่นใจได้ว่าเซิร์ฟเวอร์ที่ไคลเอ็นต์เชื่อมต่อเป็นเซิร์ฟเวอร์ที่ไคลเอ็นต์ต้องการ มี บริษัท เอกชนที่มีบทบาทนี้และ บริษัท เหล่านี้เรียกว่า CA (Certificate Authority) หรือ Root Certificate CA ไม่ใช่สิ่งที่ บริษัท ใด ๆ สามารถทำได้และมีเพียง บริษัท ที่มีการรับรองความน่าเชื่อถือเท่านั้นที่สามารถเข้าร่วมได้ บริษัท ตัวแทนมีดังนี้ ตัวเลขดังกล่าวเป็นส่วนแบ่งการตลาดในปัจจุบัน

• ไซแมนเทคมีส่วนแบ่งตลาด 42.9%

• Comodo กับ 26%

• GoDaddy กับ 14%

• GlobalSign ด้วย 7.7%

บริการที่ต้องการให้การสื่อสารที่เข้ารหัสผ่าน SSL ต้องซื้อใบรับรองผ่าน CA CA ประเมินความน่าเชื่อถือของบริการในรูปแบบต่างๆ

ผู้ออกใบรับรองส่วนตัว

หากคุณต้องการใช้การเข้ารหัส SSL เพื่อการพัฒนาหรือวัตถุประสงค์ส่วนตัวคุณสามารถทำหน้าที่เป็น CA ด้วยตัวเอง แน่นอนว่านี่ไม่ใช่ใบรับรองที่ผ่านการรับรองดังนั้นหากคุณใช้ใบรับรองของ CA ส่วนตัว

เนื้อหาของใบรับรอง SSL

ใบรับรอง SSL ประกอบด้วยข้อมูลต่อไปนี้:

• ข้อมูลบริการ (CA ที่ออกใบรับรองโดเมนของบริการ ฯลฯ )

• คีย์สาธารณะฝั่งเซิร์ฟเวอร์ (เนื้อหาของคีย์สาธารณะวิธีการเข้ารหัสของคีย์สาธารณะ)

เบราว์เซอร์รู้จัก CA

ในการทำความเข้าใจใบรับรองสิ่งหนึ่งที่คุณต้องรู้คือรายการ CA เบราว์เซอร์ทราบรายการ CA ล่วงหน้าเป็นการภายใน ซึ่งหมายความว่าซอร์สโค้ดของเบราว์เซอร์มีรายการ CA ในการเป็น CA ที่ได้รับการรับรองนั้นจะต้องรวมอยู่ในรายการ CA ที่เบราว์เซอร์ทราบล่วงหน้า เบราว์เซอร์ทราบคีย์สาธารณะของแต่ละ CA พร้อมกับรายการ CA แล้ว