Для кого выгоден wildcard SSL сертификат и как им управлять

10.08.2021

Получение SSL сертификата и использование защищенного протокола HTTPS стало нормой для любого серьезного сайта. Без выполнения этих условий практически невозможно привлекать трафик на свой ресурс — поисковые системы будут помечать сайт как небезопасный и понижать его в выдаче, браузеры станут запрашивать согласие пользователя на установку соединения, да и люди уже привыкли к тому, что их подключение зашифровано. При выборе SSL-сертификата владелец сайта должен учитывать, что не все они одинаковы. Некоторые работают только с одним доменом, другие — с несколькими. В ситуации когда требуется обеспечить защиту большого количества поддоменов — сертификат wildcard это идеальное решение, именно для этого он и создан.

Подстановочный wildcard ssl сертификат: что это такое и зачем он нужен

Подстановочный или wildcard  SSL сертификат отличается от своих аналогов тем, что его можно использовать не только для защиты основного доменного имени, также он работает с неограниченным числом субдоменов. Подстановочным он называется из-за использования в своей структуре универсального символа заменителя(как правило это звездочка), который вписывается вместо указания конкретных поддоменов. Скажем wildcard вида *. primer.ru, охватит и любые его поддомены третьего уровня, такие как: 

  • login.primer.ru;
  • account.primer.ru;
  • blog.primer.ru;
  • mail.primer.ru и т.д.

На рисунке ниже подробно описаны уровни доменных имен, начиная с домена верхнего уровня(TLD) и вплоть до поддоменов 4-го уровня. Обратите внимание, что количество уровней субдоменов не ограничивается цифрой 4 и определяется потребностями их владельца. 

Один wildcard  SSL сертификат охватывает только один уровень поддоменов. Это означает, что wildcard сертификат выпущенный для primer.ru будет действительным для всех его субдоменов третьего уровня, но не будет работать для четвертого уровня вложенности. Соответственно если необходима защита поддоменов четвертого и далее уровней нужно получить отдельный wildcard сертификат для родительского домена каждого из них. То есть для того, чтобы wildcard ssl работал на субдомене work.mail. primer.ru, нужно получить его для *.mail. primer.ru. 

Кому наиболее выгодно использовать wildcard сертификаты

Wildcard SSL имеет смысл использовать для сайта с большим количеством поддоменов, этот вид сертификата позволит защитить их все сразу.

Некоторые распространенные сценарии, когда использование подстановочного SSL сертификата является наиболее выгодным, включают в себя:

  • веб-разработку в которой часто используют поддомены для тестирования сред;
  • интернет проекты которые задействуют отдельные субдомены для различных объектов(блог, магазин и т. д.);
  • хостинговые компании которым нужно предоставлять тестовые аккаунты для своих клиентов;
  • конструкторы сайтов которые создают отдельный поддомен для каждого из своих пользователей.

Основные принципы того как работает сертификат wildcard и особенности его интеграции

Подстановочные SSL сертификаты обеспечивают зашифрованное соединение между пользователем(его веб-браузером или другим программным обеспечением) и веб-сервером. При этом данные шифруются с помощью набора ключей — один из которых хранится в самом сертификате, а другой на сервере. Разница между обычным и wildcard сертификатом заключается в том, что первый может работать только на одном сервере, в то время как второй может быть скопирован и загружен на столько серверов, сколько необходимо для размещения основного домена и всех его поддоменов.

После того как wildcard сертификат будет установлен весь веб-трафик между браузером посетителя и любым из защищенных им серверов будет зашифрован. Это означает, что если хакер перехватит сообщение между браузером посетителя и сервером сайта, все, что он увидит — это некий набор бессмысленных данных, бесполезный без закрытого ключа шифрования.

Обратите внимание! - При использовании одного подстановочного SSL-сертификата на нескольких серверах нужно соблюдать осторожность, так как они будут снабжены одним и тем же закрытым ключом. В случае компрометации одного сервера, все остальные также окажутся под угрозой.

Как настроить подстановочный SSL-сертификат

Для установки wildcard сертификата на сайт нужно последовательно выполнить несколько простых шагов:

Получите запрос подписи подстановочного сертификата(CSR). Это простая процедура, в большинстве хостинговых компаний и у регистраторов доменных имен ее можно пройти в автоматическом режиме, при котором все действия по генерации CSR они возьмут на себя. От пользователя потребуется только указать  ряд данных о домене и компании или физическом лице владеющим им.

  1. Оплатите сертификат. На рынке существует множество поставщиков которые предлагают ssl сертификаты wildcard (WC) на выбор. Наилучшее решение зависит от конкретных потребностей покупателя и его бюджета. Для обеспечения большей защищенности основного домена и его поддоменов можно выбрать сервис с поддержкой функции создания уникальных закрытых ключей для каждой копии подстановочного SSL-сертификата загружаемого на сервер. Это несколько затруднит управление сертификатом, но сделает защищенные им сайты  менее уязвимыми для хакеров и других угроз безопасности.

  2. После того как поставщик SSL сертификата сгенерирует CSR, будет произведена оплата и пройдена проверка подтверждения домена можно загружать полученные от центра сертификации файлы на свой сервер.

Типы подстановочных SSL сертификатов

Wildcard сертификаты бывают двух типов:

  1. Валидация домена — самый простой вариант, для его получения требуется только подтверждение владения доменом, получение занимает не больше 5 минут.

  2. Бизнес-валидация —подходит для малых, средних и крупных организаций или компаний, проверка и обработка данных при ней может занять несколько дней. Этот тип сертификата выдается только легально зарегистрированным компаниям, поскольку название компании и адрес будут отображаться когда пользователи нажмут на SSL-сертификат, чтобы найти дополнительную информацию о том кому он был выдан.

К сожалению wildcard сертификаты не выпускаются в самой защищенной версии — EV (Extended Validation), поскольку она требует углубленного процесса проверки домена и запрашивающей организации, прежде чем какой-либо авторитетный CAS выдаст их. При необходимости добавления EV SSL для поддоменов нужно приобретать платный сертификат для каждого из них в отдельности.

Чем подстановочный сертификат отличается от других видов защиты

В общем виде, все SSL сертификаты делятся на три типа с точки зрения области защиты. Самые простые работают только с одним доменом и не защищают поддомены, также есть мультидоменные сертификаты которые распространяют свое действие на три-четыре домена или субдомена. В отличие от указанных сертификатов, wildcard SSL может использоваться для защиты основного домена и любого количества его поддоменов.

Плюсы wildcard сертификатов SSL

Владельцам сайтов с множеством поддоменов wildcard сертификаты обеспечивают ряд преимуществ в сравнении с аналогами:

  • неограниченное количество субдоменов для защиты — вместо того, чтобы покупать несколько SSL-сертификатов для каждого из них, нужно приобрести один и защитить их все разом;
  • простота управления — подстановочные SSL сертификаты исключают сложную, долгую и трудоемкую задачу развертывания и обновления десятков отдельных SSL-сертификатов;
  • экономическая целесообразность — хотя wildcard SSL стоит больше чем однодоменные сертификаты, использовать его дешевле, чем шифровать каждый поддомен по отдельности. Подстановочные SSL-сертификаты будут более экономичными в долгосрочной перспективе для компаний которые добавляют все больше и больше поддоменов под своим корневым доменом;
  • универсальность — этот тип сертификатов поддерживается практически всеми типами веб-браузеров и устройств, включая мобильные телефоны и настольные компьютеры, кроме того одним wildcard SSL можно охватить несколько серверов и переоформлять его столько раз, сколько потребуется.

Вывод

Установка wildcard SSL сертификата, это один из самых важных шагов в оптимизации и защите сайта. Если этот этап пропустить — возникнут трудности с ранжированием в поисковых системах и значительная часть пользователей откажется от посещения ресурса из-за статуса небезопасного. Различные виды сертификатов позволяют избежать этих трудностей. Выбор конкретного типа сертификата зависит от специфики сайта, для проектов которые используют поддомены — лучшее решение, это wildcard SSL. Установка такого сертификата позволяет экономить время, деньги и усилия, защищая неограниченное количество субдоменов. Процесс получения сертификата занимает от нескольких минут до 3 дней в зависимости от его типа, интеграция wildcard SSL на сайт происходит в три несложных шага.