假设我正在使用 AWS Certificate Manager 获取用于example.comAWS CloudFront 的证书。我可以指定一个备用域www.example.com并将其指向我的 DNS 中的另一个 CloudFront 分配。
但是 AWS Certificate Manager 还允许我将通配符指定*.example.com为备用域,这将允许我在未来将我的 DNS 设置为路由blog.example.com到另一个 CloudFront 分配,如果我决定需要它的话。
添加通配符域(例如*.example.comAWS Certificate Manager)有什么缺点吗?是不是成本更高?它是否使我的配置在某种程度上不灵活?为什么我不想总是将通配符指定*.example.com为备用域,因为这使我可以灵活地在将来随时添加子域?
好处是它非常灵活。通配符证书允许您在将来添加备用域。一般来说,星级证书的“正常”缺点是它们可能很昂贵,并且可能会产生安全漏洞。
对于您的用例,它们根本不贵,
AWS Certificate Manager是免费的:关于安全漏洞,当您将星级证书加载到服务器上时,这确实是一个问题。由于
ACM证书在内部进行管理并在 AWS 服务上使用,因此它的脆弱性要小得多。我包含了一些参考资料,提供了有关通配符证书漏洞的更多详细信息。
参考
证书管理器定价
ACM 概述
通配符证书使加密更容易但不太安全
通配符 SSL 证书可能导致哪些漏洞