保護(hù)多個(gè)域名和子域名不再需要不同的SSL證書,。通配符SSL證書和SAN SSL證書都能夠使用單個(gè)證書跨多個(gè)域名,、子域名等提供數(shù)據(jù)加密和安全性。在本文中,，我們將深入探討什么是什么是通配符SSL證書和SAN SSL證書,？

一,、通配符SSL證書

通配符SSL證書（WC SSL證書）保護(hù)一個(gè)標(biāo)有通配符 (*) 的主域名和與該主域名相同級(jí)別的無限子域名,。無論我們有20個(gè)子域名還是2000個(gè)子域名，我們都可以使用一個(gè)WC證書保護(hù)它們,。例如網(wǎng)站的主域標(biāo)有星號(hào),，它是*example.com。

一級(jí)子域?qū)㈩愃朴冢?/p>

例子.com

例子.com

例子.com

例子.com

二級(jí)子域看起來像這樣：

mail.example.com

shop.example.com

blog.example.com

開發(fā)者.example.com

第三級(jí)子域類似于 primary.login.example.com……等等,。

請(qǐng)務(wù)必注意,，通配符SSL將保護(hù)同一級(jí)別的多個(gè)子域，而不是多個(gè)級(jí)別,。因此,，如果我們擁有 *example.com的WC SSL，那么我們就是在保護(hù)一級(jí)子域,。如果我們添加新的子域music.example.com或 news.example.com,，它們將自動(dòng)添加到證書中并受到保護(hù)。

但是,，二級(jí)和三級(jí)子域?qū)⒉皇艽送ㄅ浞鸖SL證書的保護(hù),。我們必須購買另一個(gè)WC SSL證書來保護(hù)子域,，例如*shop.example.com或 *mail.example.com。

優(yōu)點(diǎn)：

1,、通配符SSL證書更易于管理,，因?yàn)橛蚣捌錈o限子域在單個(gè)證書下得到保護(hù)。

2,、這是一個(gè)靈活的解決方案,，因?yàn)橥?jí)別的新子域會(huì)自動(dòng)添加到證書中并立即受到保護(hù)，只要證書在有效期內(nèi),。該組織不必重新頒發(fā)證書即可添加這些新的子域,。

3、同樣,，可以在必要時(shí)刪除子域,，而無需重新頒發(fā)證書。

4,、通配符SSL證書是 保護(hù)多個(gè)子域的經(jīng)濟(jì)高效,、通用且實(shí)用的解決方案。我們不必在多個(gè)證書上花很多錢,。

5,、最好的通配符SSL還提供SAN（主題備用名稱）功能，使組織能夠保護(hù)其他域名,。

缺點(diǎn)：

1,、通配符SSL證書僅在域驗(yàn)證和組織驗(yàn)證保證級(jí)別可用。

2,、擴(kuò)展驗(yàn)證不是一個(gè)選項(xiàng),。例如，如果攻擊者要?jiǎng)?chuàng)建一個(gè)欺詐性子域,，它將自動(dòng)添加到證書中,，無需驗(yàn)證或確認(rèn)。攻擊者可能會(huì)利用它對(duì)用戶進(jìn)行網(wǎng)絡(luò)釣魚攻擊,。

3,、它不保護(hù)多個(gè)級(jí)別的子域。

4,、如果多方管理不同的子域,，則需要在這些各方之間共享私鑰。這會(huì)帶來未經(jīng)授權(quán)訪問,、數(shù)據(jù)泄露和其他攻擊的風(fēng)險(xiǎn),。

5、如果一個(gè)子域被攻破，其他子域被攻破的可能性就很高,。

二,、SAN SSL證書 

SAN SSL證書也稱為多域SSL證書和統(tǒng)一通信證書(UCC)。SAN（主題備用名稱）SSL在單個(gè)SSL證書下保護(hù)多個(gè)完全限定域名(FQDN)和子域,。

主域稱為公用名(CN),，其他域稱為SAN。SAN可以是其他FQDN,、具有其他頂級(jí)域(TLD)的域,、子域或其他變體。使用SAN SSL證書,，組織可以保護(hù),，例如：

www.example.com

例子.com

www.1example.org

www.example2.net

2example.net

例子.co.uk

blog.example.com

anything.example1.org

dev.example3.com

mail.example.com

mail.example.net

證書所有者在發(fā)出證書簽名請(qǐng)求(CSR)時(shí)需要清楚地說明他們希望在多域SSL證書下保護(hù)的CN和所有SAN。如果組織希望稍后將更多SAN 添加到證書中,，則必須重新頒發(fā)證書,；這些新的SAN不會(huì)自動(dòng)添加到證書中。

優(yōu)點(diǎn)：

1,、SAN SSL提供所有級(jí)別的驗(yàn)證——域,、組織和擴(kuò)展驗(yàn)證。

2,、多功能SAN SSL證書使組織能夠保護(hù)Web服務(wù)器主機(jī)名,、IP地址,、私有主機(jī)名,、支付網(wǎng)關(guān)和防火墻設(shè)備等。

3,、根據(jù)證書頒發(fā)機(jī)構(gòu)和選擇的計(jì)劃,，我們可以在單個(gè)SAN SSL證書下保護(hù)50到250個(gè)額外的SAN。

4,、它為希望使用單個(gè)證書保護(hù)多個(gè)域和子域的組織節(jié)省了時(shí)間和成本,。此外，它更易于管理,。

缺點(diǎn)：

1,、如果要將新的子域或域添加到證書中，則重新頒發(fā)證書,。這會(huì)給網(wǎng)站帶來風(fēng)險(xiǎn)和停機(jī)時(shí)間,。

2、如果私鑰被盜或證書過期,，所有域和子域都容易受到攻擊和數(shù)據(jù)泄露,。 

三、通配符SSL證書與SAN SSL證書選擇哪一個(gè),？

盡管存在差異,，但SAN和通配符SSL證書提供相似的加密強(qiáng)度（256位）并且在大多數(shù)瀏覽器和設(shè)備之間兼容,。

如果我們想保護(hù)自己的根域及其子域，使用通配符SSL證書是有意義的,。如果我們有多個(gè)域并且想在哪個(gè)方向上擴(kuò)展我們的保護(hù),，那么SAN證書是正確的選擇。

以上是“什么是通配符SSL證書和SAN SSL證書,？”的分析,，希望能幫助到大家了解！