Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

Was ist ein Wildcard-Zertifikat?

SSL/TLS Bescheinigungen

Was ist ein Wildcard-Zertifikat SSL ? Ein Wildcard-Zertifikat ist eine Art SSL/TLS Zertifikat, das zur Absicherung mehrerer Domains (Hosts) verwendet werden kann, was durch ein Wildcard-Zeichen (*) im Feld für den Domainnamen angezeigt wird.

Dies kann hilfreich sein, wenn Sie viele Domains oder Subdomains absichern müssen, da Sie dadurch Zeit und Geld sparen können. Dieser Artikel befasst sich mit Wildcard-Zertifikaten, ihrer Funktionsweise und den Gründen, warum Sie sie in Ihrem Unternehmen nicht verwenden sollten.

Verstehen von Wildcard-Zertifikaten

Ein Wildcard-Zertifikat SSL ist ein digitales Zertifikat, das für mehrere Domain-Subdomains verwendet werden kann. Wildcard-Zertifikate werden im Allgemeinen in Organisationen mit vielen Subdomains verwendet. Wildcard-Zertifikate sind für eine primäre Domain und alle ihre Subdomains der ersten Ebene gültig.

Ein Wildcard-Zertifikat für *.example.com könnte zum Beispiel verwendet werden für www.example.com, mail.example.com, store.example.com oder jeden anderen Subdomänennamen in example.com.

Wildcard-Zertifikate sind teurer als Standardzertifikate SSL/TLS , da es sich um Multi-Domain-Zertifikate mit demselben registrierten Stamm handelt. Dadurch lassen sie sich einfach bereitstellen und verwalten, anstatt mehrere Zertifikate für jede einzelne Domäne und Subdomäne zu verwenden. Diese Flexibilität birgt jedoch auch gewisse Sicherheits- und Betriebsrisiken, darunter:

  • Schlüsselkompromittierung: Wenn der private Schlüssel des Zertifikats kompromittiert ist, kann sich ein Angreifer als eine beliebige Domäne unter diesem Wildcard-Zertifikat ausgeben. Cyberkriminelle nutzen Zertifikate, um bösartige Websites für Phishing-Kampagnen zu hosten.
  • Betriebliche Belastung: Häufig erinnern sich Teams nicht mehr an alle Orte, an denen sie ein Wildcard-Zertifikat installiert haben, so dass es schwierig ist, den Überblick zu behalten und eine effektive Verwaltung im großen Maßstab zu gewährleisten.
  • Ausfallzeiten und Ausfälle: Wenn es Zeit für die Erneuerung ist, müssen sie das Zertifikat an allen Standorten gleichzeitig erneuern und bereitstellen (d. h., die Verwendung von SSL Zertifikaten für jeden Server im Vergleich zu einem für alle reduziert den Radius von Ausfällen und Verstößen aufgrund der Kompromittierung privater Schlüssel).

Wie man ein Wildcard-Zertifikat erhält

Wildcard-Zertifikate können bei jeder Zertifizierungsstelle (CA) erworben werden. Bei der Bestellung eines Wildcard-Zertifikats müssen Sie den Hauptdomänennamen (z. B. example.com) und die Subdomänen (z. B. *.example.com) angeben. Die Zertifizierungsstelle erstellt dann ein Zertifikat, das zur Sicherung aller Subdomänen der angegebenen Domäne verwendet werden kann.

Vorteile von Wildcard-Zertifikaten

Die Verwendung eines Wildcard-Zertifikats für Ihre Website hat einige Vorteile:

  • Sparen Sie Zeit und Geld: Wenn Sie viele Domains oder Subdomains haben, kann es effizienter und kostengünstiger sein, ein einziges Wildcard-Zertifikat anstelle mehrerer Standardzertifikate zu verwenden.
  • Erhöhte Flexibilität: Wildcard-Zertifikate bieten mehr Flexibilität als Standardzertifikate, da sie zur Sicherung mehrerer Subdomains verwendet werden können. Dies kann hilfreich sein, wenn Sie in Zukunft Subdomains hinzufügen oder entfernen müssen.

Nachteile der Verwendung von Wildcard-Zertifikaten

Bei Wildcard-Zertifikaten überwiegen in der Regel die Risiken die Vorteile, insbesondere wenn Ihr Unternehmen nicht über die richtigen Tools und Prozesse für die Verwaltung von Zertifikaten verfügt:

  • Schafft Sicherheitsrisiken: Der größte Nachteil von Wildcard-Zertifikaten ist, dass sie mehr Risiken als Sicherheit schaffen können. Wildcard-Zertifikate verwenden einen einzigen gemeinsamen privaten Schlüssel für alle Subdomänen. Wenn also eine Subdomäne kompromittiert wird, sind alle anderen Subdomänen desselben Zertifikats ebenfalls gefährdet.
  • Schwierig zu verfolgen: Die vermeintlich einfache Verwendung von Wildcard-Zertifikaten kann täuschen. Ein einzelnes Wildcard-Zertifikat SSL lässt sich zwar leicht verteilen, aber die Verfolgung eines einzelnen Zertifikats über Dutzende oder sogar Hunderte von Servern hinweg kann eine ebenso große Herausforderung darstellen, insbesondere wenn es an allen Standorten gleichzeitig abläuft.

Lektionen gelernt: Ein Ausfall von Wildcard-Zertifikaten

Im Mai 2018 kam es bei Epic Games, dem Entwickler von beliebten Videospielen wie Fortnite und Rocket League erlebte einen weitreichenden Ausfall der dazu führte, dass sich Millionen von Spielern nicht anmelden konnten und die Verbindung unterbrochen wurde. Die Ursache des Ausfalls? Ein abgelaufenes Wildcard-Zertifikat SSL .

Das fragliche Zertifikat wurde in Hunderten von verschiedenen Produktionsdiensten in AWS installiert, was weitreichende Auswirkungen hatte. Viele Spieler waren frustriert und verärgert und machten ihrem Unmut in den sozialen Medien Luft.

Dieser Vorfall verdeutlicht einen der potenziellen Nachteile von Wildcard-Zertifikaten. Da Wildcard-Zertifikate mehrere Subdomains mit einem einzigen Zertifikat sichern, kann ein abgelaufenes Zertifikat weitreichende Störungen verursachen. 

Wenn Sie ein Wildcard-Zertifikat verwenden, behalten Sie das Ablaufdatum im Auge und erneuern Sie es rechtzeitig, um mögliche Probleme zu vermeiden. Epic Games benötigte fünfeinhalb Stunden, um sich vollständig von dem Vorfall zu erholen. Unglaublich, dass sie teilten die Details Unglaublicherweise teilten sie die Details ihrer Erfahrung als Lektion für Branchenkollegen und arbeiteten daran, das Problem schnell zu beheben.

Wildcard-Zertifikate: Eine Abkürzung, keine Lösung

Wildcard-Zertifikate sind in den meisten Fällen eher eine Abkürzung als eine Lösung. Wenn der Prozess der Erneuerung, Bereitstellung und Installation von Zertifikaten manuell und zeitaufwändig ist, besteht der einfache Ausweg darin, die Anzahl der zu verwaltenden Zertifikate zu reduzieren. Klingt sinnvoll, oder? Nicht immer.

Bei einer großen Anzahl von Websites, die auf einer kleinen Infrastruktur gehostet werden, kann dies sinnvoll sein, aber Sie müssen genau kontrollieren, wie das Wildcard-Zertifikat über diese Systeme verteilt und verwaltet wird.

In Entwicklungs- und Testumgebungen müssen Sie möglicherweise temporäre Subdomänen erstellen. Anstatt sich die Mühe (und die Kosten) zu machen, einzelne Zertifikate für diese Subdomains zu erstellen und zu sichern, können Sie einfach ein Wildcard-Zertifikat erstellen und fügen Sie die temporären Subdomains nach Bedarf hinzufügen.

In den meisten Fällen sollten Wildcard-Zertifikate jedoch vermieden werden. Wenn Sie einfach nur versuchen, Zeit und Geld zu sparen oder ein Wildcard-Zertifikat als Notlösung zu verwenden, bekämpfen Sie nur ein Symptom und nicht das eigentliche Problem. Mit einer angemessenen Überwachung und Automatisierung lassen sich die mit der Zertifikatsverwaltung verbundenen Probleme lindern und gleichzeitig die mit Wildcard-Zertifikaten verbundenen Risiken vermeiden.

Ablauf und Erneuerung der Bescheinigung

Wie alle digitalen Zertifikate haben auch die Wildcard-Zertifikate SSL ein Ablaufdatum und müssen verwaltet werden. Wenn ein Zertifikat abläuft, muss es an allen Standorten erneuert und ersetzt werden. Wird ein Zertifikat nicht erneuert, sind die damit gesicherte(n) Website(s) nicht mehr über HTTPS erreichbar und zeigen den Besuchern eine Fehlermeldung an.

Wenn Sie ein Wildcard-Zertifikat SSL erneuern, müssen Sie eine neue Zertifikatsanforderung (Certificate Signing Request, CSR) erstellen und diese an Ihre Zertifizierungsstelle (CA) senden. Geben Sie unbedingt an, dass Sie ein Wildcard-Zertifikat erneuern, da dies bei der Erstellung Ihres neuen Zertifikats durch die Zertifizierungsstelle berücksichtigt wird.

Verwaltung des Lebenszyklus von Zertifikaten

Sobald Sie Ihr Wildcard-Zertifikat SSL haben, müssen Sie es auf Ihrem Webserver (oder mehreren Servern) installieren und richtig konfigurieren. Danach sollten Sie das Zertifikat regelmäßig überwachen, um sicherzustellen, dass es noch gültig und aktuell ist. Dieser Prozess wird als Zertifikats-Lebenszyklus-Management bezeichnet.

Automatisierung des Lebenszyklus von Zertifikaten

Viele Unternehmen automatisieren den Lebenszyklus von Zertifikaten, um die Verwaltung zu vereinfachen Wildcard-Zertifikate SSL zu vereinfachen. Dies kann mit einer Lösung wie Keyfactor Commanddie alle Aspekte der SSL/TLS Zertifikatsverwaltung automatisiert, von der Registrierung und Installation bis zur Überwachung und Erneuerung. Dieser Prozess wird als Automatisierung des Lebenszyklus von Zertifikaten bezeichnet.

Schlussfolgerung

Fazit: Wildcard-Zertifikate können in bestimmten Situationen nützlich sein, aber im Allgemeinen sollten sie vermieden werden. Wenn Sie ein Wildcard-Zertifikat erwerben, ist es wichtig, dass der private Schlüssel sicher generiert und gespeichert wird und dass Sie Einblick in jeden Standort haben, an dem das Zertifikat installiert ist, um sicherzustellen, dass es erneuert und ersetzt wird, bevor es abläuft.