desenv-web-rp.com

Usando certificados curinga para implantação em vários servidores

Atualmente, estamos implantando uma API beta para nossos serviços e queremos que todas as solicitações/respostas da API funcionem em https. Estou confuso sobre o uso de certificados curinga para os URLs api e www. É uma boa idéia usar um certificado curinga para api.example.com e www.example.com? Há algum inconveniente?

E os certificados somente de 1 servidor? Porque estou implantando minha API em servidores n com um balanceador de carga na frente.

11
licorna

Você está correto, usar um certificado curinga é uma ótima idéia nesse caso. Isso manterá sua configuração de domínios separados simples e garantirá que todos os subdomínios que você decide adicionar funcionem.

Existem algumas desvantagens:
- Seu domínio de nível superior não é seguro. Como em, o certificado não é bom para example.com.
- Eles são muito caros, normalmente em torno de US $ 1k.

Quanto aos certificados para 1 servidor, isso depende do contrato que você faz quando compra o certificado. Alguns permitem que o certificado seja instalado em vários servidores, outros não. Além disso, não tenho idéia de como ou se eles verificam se o certificado está instalado apenas em um único servidor. Você pode se safar disso ...

Além disso, se você estiver usando um balanceador de carga, eu recomendaria instalar o certificado lá, se o seu hardware permitir. Eu sei que a série Cisco CSS possui um módulo de hardware dedicado que lida com toda a criptografia e descriptografia, economizando algum trabalho para seus servidores.

4
Chris Henry

O único problema que eu vi com certificados curinga até agora é que eles não parecem ter nenhum que suporte EV. Isso é realmente realmente uma preocupação se você deseja que o navegador legal chrome diga "ei, este site é oficialmente bom e com uma vertigem". Se você está procurando apenas um transporte seguro e não se importa com a confiança na compra do cliente, siga o caminho mais barato. Ou compre EV para o servidor www e curinga para a API.

2
JasonBirch