Utilisation de certificats génériques pour le déploiement multi-serveurs

11

Actuellement, nous déployons une API bêta pour nos services et nous voulons que toutes les demandes / réponses de l'API fonctionnent sur https. Je suis confus quant à l'utilisation de certificats génériques pour les deux apiet les wwwURL. Est-ce une bonne idée d'utiliser un certificat générique pour les deux api.example.comet www.example.com? Y a-t-il des inconvénients?

Qu'en est-il de ces certificats pour un seul serveur? Parce que je déploie mon API sur n serveurs avec un équilibreur de charge à l'avant.

https security-certificate licorna
la source
Les certificats sont liés à leurs noms de domaine (ou dans le cas d'un caractère générique, * .domain) - vous pouvez déployer le seul certificat sur des dizaines de serveurs sans problème. Nous le faisons maintenant avec un équilibreur de charge, vous devez juste vous rappeler de mettre à jour chaque certificat sur chaque serveur lorsque le moment du renouvellement arrive.
Mark Henderson

Réponses:

4

Vous avez raison, l'utilisation d'un certificat générique est une excellente idée dans ce cas. Cela simplifiera votre configuration pour des domaines distincts et garantira que tous les sous-domaines que vous décidez d'ajouter fonctionneront.

Il y a quelques inconvénients:
- Votre domaine de premier niveau n'est pas sécurisé. Comme dans, le certificat n'est pas bon pour example.com.
- Ils sont très chers, normalement autour de 1 000 $.

Quant aux certificats 1 serveur uniquement, cela dépend de l'accord que vous concluez lorsque vous achetez le certificat. Certains autoriseront l'installation du certificat sur plusieurs serveurs, d'autres non. De plus, je n'ai aucune idée de comment ou s'ils vérifient que le certificat n'est installé que sur un seul serveur. Vous pourrez peut-être vous en sortir ...

De plus, si vous utilisez un équilibreur de charge, je recommanderais d'y installer le certificat, si votre matériel le permet. Je sais que la série Cisco CSS possède un module matériel dédié qui gère tout le cryptage et le décryptage, économisant du travail pour vos serveurs.

Chris Henry
la source
3
Le SSL Wildcard Digicert est de 1/2 à 1/3 de ce prix et est flexible (installations multi-serveurs). Nous les utilisons depuis quelques années et cela a bien fonctionné pour nous.
JasonBirch
Godaddy.com vend des certificats génériques pour environ 200 $ / an. Je les utilise depuis 3 ans maintenant et je n'ai eu aucun problème avec les navigateurs qui les acceptent.
dragonmantank
Les certificats Digicert sécuriseront également le domaine de base (c'est-à-dire pas de sous-domaine) pour lequel la plupart des autres fournisseurs ont besoin de vous pour acheter un certificat supplémentaire
Gareth
2

Le seul problème que j'ai vu avec les certificats génériques jusqu'à présent est qu'ils ne semblent pas en avoir qui prennent en charge EV. Ce n'est vraiment un problème que si vous voulez que le cool navigateur Chrome dise "hé, ce site est officiellement OK et vertifié". Si vous recherchez uniquement un transport sécurisé et que vous ne vous souciez pas de la confiance des clients en matière d'achat, optez pour le bon marché. Ou achetez EV pour le serveur www et un caractère générique pour l'API.

JasonBirch
la source
Je suis d'accord avec ça, je m'attends à ce que ma banque ait un EV, mais pas moi
licorna