Comprendre les certificats Wildcard SSL et SAN SSL

SSL Les certificats identifient et authentifient automatiquement les adresses IP publiques en attribuant à chacune d'elles une paire de clés publique/privée associée au nom de domaine unique du serveur. L'intégration du nom de domaine dans le certificat est essentielle pour identifier le serveur web et vérifier la signature numérique du serveur afin de confirmer la validité du certificat.

Cependant, vous ne devez pas acheter un nouveau certificat pour chacun de vos domaines.

Il est important de comprendre les options qui s'offrent à vous pour les certificats SSL , sinon vous risquez de gaspiller des ressources précieuses en achetant des certificats uniques pour chacun de vos domaines. Pour les organisations qui hébergent de nombreux serveurs publics, l'achat de certificats SSL à usages multiples peut être la meilleure option.

Un certificat multi-domaine SSL est un certificat spécial SSL qui peut sécuriser plusieurs domaines primaires, sous-domaines ou adresses IP publiques à l'aide d'un seul certificat SSL et d'une seule adresse IP. Les SSL à usages multiples ont d'abord été posés comme une solution pour les applications de communications unifiées . Aujourd'hui, il peut bénéficier à toute personne qui envisage de fusionner plusieurs domaines ou sous-domaines primaires en un seul certificat SSL .

Les deux principaux types sont les suivants :

• Certificats Wildcard : ils sécurisent le domaine principal et plusieurs sous-domaines (par exemple, www.domain.com, email.domain.com, blog.domain.com).
• Certificats SAN SSL : qui sécurise un nom de domaine primaire et, selon le fournisseur, jusqu'à 500 noms alternatifs (par exemple, domaines primaires, adresses IP, noms communs).

Il est également possible d'utiliser les deux types en combinaison, en couvrant un nombre illimité de sous-domaines et de domaines primaires, le tout dans un seul certificat SSL . Vous avez l'embarras du choix lorsque vous combinez ces options avec les différents niveaux de validation des certificats SSL .

Examinons de plus près les deux types de certificats polyvalents SSL afin de déterminer lequel pourrait correspondre à vos besoins.

Un certificat Wildcard est un certificat multi-domaine SSL qui s'applique à un seul domaine primaire - et à tous ses sous-domaines.

Les organisations sont souvent confrontées à la nécessité d'utiliser des noms de sous-domaines, c'est-à-dire des noms qui utilisent le même nom racine, mais qui nécessitent des préfixes uniques. L'utilisation d'un certificat wildcard est une solution beaucoup plus pratique et polyvalente que l'utilisation de plusieurs certificats SSL .

En règle générale, un certificat SSL est un certificat à domaine unique. Les certificats Wildcard fonctionnent de la même manière mais offrent plusieurs avantages significatifs.

Un certificat wildcard ne comporte toujours qu'un seul domaine primaire (par exemple, domain.com), mais le caractère wildcard - un astérisque (*) - lui permet de protéger un nombre illimité de sous-domaines (par exemple, login.domain.com, mail.domain.com, search.domain.com).

De plus, vous pouvez ajouter, modifier ou remplacer des sous-domaines sans avoir à mettre à jour le certificat. Les certificats Wildcard SSL sont donc les plus raisonnables et les plus recommandés pour tous ceux qui utilisent plusieurs sous-domaines.

Les certificats Wildcard peuvent simplifier les tâches de gestion et réduire les coûts, si la situation s'y prête. Toutefois, si ces certificats semblent plus faciles à gérer, le risque de compromission peut être plus élevé. Le déploiement d'un certificat Wildcard sur un nombre illimité de serveurs et de sous-domaines est intéressant, mais si le certificat Wildcard est compromis, tous les sites le sont également.

Tout comme pour les certificats ordinaires SSL , vous devez savoir à quoi servent (ou ne servent pas) les certificats génériques grâce à une solution de gestion des certificats.

Le certificat le plus comparable à un certificat Wildcard est appelé certificat Subject Alternate Name (SAN). Examinons-les de plus près pour voir comment ils se comparent.

Les certificats de noms alternatifs (SAN SSL), également appelés certificats de communications unifiées (UCC), ont été initialement conçus pour soutenir les infrastructures de communication en temps réel.

Subject alternative name (SAN) est une extension du protocole SSL ; il permet d'associer diverses valeurs à un certificat SSL en utilisant des noms alternatifs, par exemple :

● Adresses électroniques

● Adresses IP

● DNS noms ou nom commun RDN

● Noms de répertoire ou noms distinctifs

● Noms généraux ou noms principaux universels

Toute personne devant protéger plus d'un nom de domaine ou d'une adresse IP devrait envisager un certificat SAN. Ces certificats offrent une solution plus rapide et plus économique que l'achat de certificats SSL distincts pour chaque domaine. Les certificats SAN sont idéaux lorsque vous devez sécuriser plusieurs sites web avec des noms de domaine différents.

La certification de plusieurs domaines sur un seul serveur nécessite généralement une adresse IP unique pour chaque domaine.

Toutefois, un certificat SAN vous évite de configurer plusieurs adresses IP sur votre serveur, de lier chaque adresse IP à un certificat différent ou d'utiliser une seule adresse IP pour contrôler plusieurs services (par exemple, OWA, SMTP, Autodiscovery, ActiveSync).

Toutes les autorités de certification proposent des certificats multi-domaines SSL , la couverture dépendant du plan multi-domaines SSL choisi auprès d'un fournisseur particulier.

Comme son nom l'indique, SAN peut également être combiné en tant qu'extension avec un joker pour ajouter des fonctionnalités au certificat. Cette combinaison rend lagestion des certificats SSL beaucoup plus simple et moins coûteuse que la gestion de certificats SSL distincts pour chaque domaine que vous possédez.

Un cas d'utilisation notable est celui des organisations qui exigent une validation interne et externe et qui utilisent des noms de sous-domaines différents pour chacune d'entre elles.

Par exemple, l'utilisation de InternalSip.domain.com et ExternalSIP.domain.com pour des applications de messagerie instantanée où vous devez sécuriser les messages avec un cryptage. Dans ce cas, vous devez certifier chaque service interne et externe pour permettre aux utilisateurs d'utiliser l'application à distance et en toute sécurité.

Le certificat wildcard crypte tous les sous-domaines d'un nom de domaine pleinement qualifié qui partagent le même serveur. Toutefois, le certificat peut prendre en charge plusieurs serveurs et un nombre illimité de sous-domaines lorsqu'il est associé aux fonctionnalités de SAN SSL.

Vous avez des difficultés à gérer les certificats Wildcard et les certificats ordinaires SSL ? Découvrez comment les capacités d'automatisation du cycle de vie des certificats de Keyfactor Command peuvent éliminer le casse-tête de la gestion des certificats génériques et prévenir les pannes de certificats.