Есть ли какие-либо недостатки в шаблонах сертификатов менеджера сертификатов AWS?

Question

Есть ли какие-либо недостатки в шаблонах сертификатов менеджера сертификатов AWS?

Допустим, я использую AWS Certificate Manager, чтобы получить сертификат для example.com для использования с AWS CloudFront. Я могу указать альтернативный домен www.example.com и укажите на другой дистрибутив CloudFront в моем DNS.

Но AWS Certificate Manager также позволяет мне указать шаблон *.example.com в качестве альтернативного домена, что позволило бы в будущем настроить DNS для маршрутизации blog.example.com в еще один дистрибутив CloudFront, если я решу, что мне это нужно.

Есть ли минус в добавлении подстановочного домена, такого как *.example.com диспетчеру сертификатов AWS? Это стоит дороже? Это как-то делает мою конфигурацию негибкой? Почему я не хочу всегда указывать шаблон *.example.com как альтернативный домен, так как это дает мне гибкость, чтобы добавить поддомен в будущем, когда я захочу?

13

amazon-web-services ssl-certificate amazon-cloudfront wildcard-subdomain amazon-acm

Источник

Garret Wilson 08 май '19 в 21:16

1 ответ

Другие вопросы по тегам amazon-web-services ssl-certificate amazon-cloudfront wildcard-subdomain amazon-acm

kenlukas 16 май '19 в 02:14 2019-05-16 02:14 · Answer 1 · 2019-05-16 02:14

Плюс в том, что он очень гибкий. Сертификат подстановочного знака позволяет добавлять альтернативные домены в будущем. "Нормальные" недостатки звездного сертификата в целом - это то, что они могут быть дорогими, и они создают потенциальную уязвимость для безопасности.

В вашем случае они совсем не дороги, AWS Certificate Manager это бесплатно:

Публичные сертификаты SSL/TLS, предоставляемые через AWS Certificate Manager, бесплатны. Вы платите только за ресурсы AWS, созданные для запуска приложения.

Что касается уязвимости безопасности, то это действительно проблема, когда вы загружаете звездный сертификат на сервер. Поскольку ACM Сертификат управляется внутри компании и используется в сервисе AWS, он гораздо менее уязвим.

Вы не можете установить общедоступные сертификаты ACM непосредственно на своем веб-сайте или в приложении. Вы должны установить свой сертификат, используя одну из служб, интегрированных с ACM и ACM PCA

Я включил несколько ссылок, предоставляющих более подробную информацию об уязвимостях подстановочного знака.

Рекомендации

Ценообразование сертификатов

ACM Обзор

Сертификаты с подстановочными знаками упрощают шифрование, но делают его менее безопасным

Какие уязвимости могут быть вызваны сертификатом SSL Wildcard