Actuellement, nous déployons une API bêta pour nos services et nous voulons que toutes les demandes / réponses de l'API fonctionnent sur https. Je suis confus quant à l'utilisation de certificats génériques pour les deux api
et les www
URL. Est-ce une bonne idée d'utiliser un certificat générique pour les deux api.example.com
et www.example.com
? Y a-t-il des inconvénients?
Qu'en est-il de ces certificats pour un seul serveur? Parce que je déploie mon API sur n serveurs avec un équilibreur de charge à l'avant.
https
security-certificate
licorna
la source
la source
Réponses:
Vous avez raison, l'utilisation d'un certificat générique est une excellente idée dans ce cas. Cela simplifiera votre configuration pour des domaines distincts et garantira que tous les sous-domaines que vous décidez d'ajouter fonctionneront.
Il y a quelques inconvénients:
- Votre domaine de premier niveau n'est pas sécurisé. Comme dans, le certificat n'est pas bon pour
example.com
.- Ils sont très chers, normalement autour de 1 000 $.
Quant aux certificats 1 serveur uniquement, cela dépend de l'accord que vous concluez lorsque vous achetez le certificat. Certains autoriseront l'installation du certificat sur plusieurs serveurs, d'autres non. De plus, je n'ai aucune idée de comment ou s'ils vérifient que le certificat n'est installé que sur un seul serveur. Vous pourrez peut-être vous en sortir ...
De plus, si vous utilisez un équilibreur de charge, je recommanderais d'y installer le certificat, si votre matériel le permet. Je sais que la série Cisco CSS possède un module matériel dédié qui gère tout le cryptage et le décryptage, économisant du travail pour vos serveurs.
la source
Le seul problème que j'ai vu avec les certificats génériques jusqu'à présent est qu'ils ne semblent pas en avoir qui prennent en charge EV. Ce n'est vraiment un problème que si vous voulez que le cool navigateur Chrome dise "hé, ce site est officiellement OK et vertifié". Si vous recherchez uniquement un transport sécurisé et que vous ne vous souciez pas de la confiance des clients en matière d'achat, optez pour le bon marché. Ou achetez EV pour le serveur www et un caractère générique pour l'API.
la source