Carte générique SSL (SSL WildCard)

Wildcard SSL : tout ce que vous devez savoir

Ils sont nommés d'après le caractère générique (l'astérisque), en anglais Wildcard, en fait. L'astérisque est utilisé pour définir le groupe de sous-domaines pour lequel le certificat s'applique.

Pour simplifier, on peut dire que la valeur de l'astérisque ne dépasse pas le point. Dans le même temps, il n'est pas possible d'utiliser deux ou plusieurs astérisques: par exemple, il n'est pas possible de certifier.

Un certificat générique est un certificat qui permet une application illimitée de SSL aux hôtes de sous-domaine d'un domaine (FQDN). Récemment, environ 40% des émissions de certificats SSL sont émises avec des certificats SSL Wildcard, ce qui prouve qu'il est très efficace.

La raison pour laquelle il est nommé Wildcard est que le domaine du certificat (CN et DNS Name) est au format * .mondomaine.com. C'est une sorte de certificat Multi / SAN et une technologie d'extension de la norme internationale RFC X.509. Vous pouvez comprendre que les caractères génériques de domaine et de sous-domaine par défaut sont inclus dans l'élément [Nom alternatif du sujet-Nom DNS] dans l'élément de vue détaillée du certificat dans le navigateur Web.

Par exemple: les navigateurs Web sont effectivement affichés dans le certificat, un certificat générique est affiché. Lors de l'affichage des informations de certificat de la page Web appliquée, elles s'affichent dans le format particulier.

Même avec ces limitations, les certificats Wildcard représentent une méthode très pratique pour crypter la transmission de données de nombreux sous-domaines.

Certificat numérique SSL

Un certificat SSL est un document électronique qui garantit la communication entre un client et un serveur par un tiers. Immédiatement après la connexion du client au serveur, le serveur transmet ces informations de certificat au client. Le client exécute la procédure suivante après avoir vérifié que ces informations de certificat sont fiables. Les avantages de l'utilisation des certificats numériques SSL et SSL sont les suivants.

• Le contenu de communication peut être empêché d'être exposé aux attaquants.

• Il est possible de déterminer si le serveur auquel le client se connecte est un serveur de confiance.

• Vous pouvez empêcher l'altération malveillante du contenu des communications.

   

Exemple de demande d'émission CN (domaine)

Caractère générique:

CN: Il doit s'agir du même modèle que * .example.com ou * .sub2.sub1.sslcert.co.net identifié par le nom DNS.

Multi-Wildcard

CN: *. Entrez le nom de domaine complet de la racine example.com sous la forme CN, à l'exclusion de la marque.

ex) Si * .sub.sslcert.co.net est le domaine représentatif, entrez CN comme sub.sslcert.net

SAN: Les domaines génériques au format * .example.com et * .sub.sslert.co.net sont, Des entrées supplémentaires sont effectuées lors de l'étape de configuration DCV lors du formulaire de candidature.

Remarques (Attention aux erreurs)

Puisque seule l'étape de position d'affichage est des hôtes illimités. Le format de .sslcert.co.net n'est pas possible. Il n'est pas possible de postuler en plusieurs étapes comme:

Utilisation principale

Lors de l'application d'un Wildcard SSL, il est plus avantageux pour la réduction / la gestion des coûts que l'émission de plusieurs sous-domaines chacun - Lorsque des sous-domaines sont attendus en permanence à mesure que l'utilisation du service Web augmente et que SSL est appliqué et exploité.

Sur le serveur Web Si vous souhaitez appliquer à tous les sites Web de sous-domaine avec le port par défaut 443 SSL (le serveur Web non pris en charge par SNI ne peut lier qu'un seul certificat par port SSL (par exemple, 443))

Mettez plusieurs autres domaines génériques dans un seul certificat. Afin de faire face à de tels cas, il existe un produit de certificat SSL Multi-Wildcard. Un caractère générique unique ne peut contenir qu'un seul caractère générique dans un certificat, et un caractère générique multiple peut contenir jusqu'à 250 caractères génériques dans un certificat.

Certificats Wildcard "low cost"

Passons maintenant à l'offre disponible. Dédiés aux certificats SSL pour les sous-domaines, on remarque immédiatement la présence de 2 "entrée de gamme", le RapidSSL et le Sectigo Essential: ce sont des certificats de type "Domaine Validé", dans lesquels le nom de l'entreprise, qui offrent une faible garantie, mais peuvent être émises en peu de temps, en moins d'une heure. Nous les recommandons donc à ceux qui sont pressés et n'ont pas d'exigences particulières.

Certificats d'entreprise Wildcard

Parmi ceux de type OV (Organization Validated), donc caractérisés par une validation à l'échelle de l'entreprise, nous vous recommandons le GeoTrust. Tout d'abord, GeoTrust est synonyme de fiabilité, étant l'une des marques les plus connues dans le domaine de la sécurité Web.

Deuxièmement, mais non des moindres, parce que ce certificat Wildcard est celui qui offre la garantie la plus élevée dans le cas rare d'une violation de cryptage. Dans ce cas, la garantie offerte est de 1,25 million de dollars US, juste assez pour dormir paisiblement.

Enfin, il faut dire que, dans le cas des Wildcards, il n'y a pas de certificats disponibles, du moins pour le moment, de type EV (Extended Validated), ceux, pour être clair, qui affichent la barre d'adresse verte dans le navigateur, avec le nom complet de la société propriétaire.

Au cas où vous auriez besoin d'obtenir la barre verte sur certains sous-domaines, vous devez opter pour des certificats EV à un ou plusieurs domaines (SAN).

Quelques différences communes pour vous faire comprendre entre HTTPS & amp; Certificats SSL:

HTTPS VS HTTP

HTTP signifie Hypertext Transfer Protocol. En d'autres termes, cela signifie un protocole de communication pour transmettre du HTML qui est Hypertext. En HTTPS, le dernier S est une abréviation de O ver Secure Socket Layer. Étant donné que HTTP transmet les données de manière non chiffrée, il est très facile d'intercepter les messages envoyés et reçus par le serveur et le client.

Par exemple, une écoute malveillante ou une altération des données peut se produire lors de l'envoi de mots de passe au serveur pour se connecter ou lire des documents confidentiels importants. HTTPS est ce qui garantit cela.

HTTPS et SSL

HTTPS et SSL sont souvent interprétés de manière interchangeable. C'est vrai et faux. C'est comme comprendre Internet et le Web dans le même sens. En conclusion, tout comme le Web est l'un des services fonctionnant sur Internet, HTTPS est un protocole fonctionnant sur le protocole SSL.

SSL et TLS

La même chose. SSL a été inventé par Netscape, et au fur et à mesure qu'il devenait largement utilisé, il a été renommé TLS car il a été changé pour la gestion de l'IETF, un organisme de normalisation. TLS 1.0 hérite de SSL 3.0. Cependant, le nom SSL est beaucoup plus utilisé que le nom TLS.

Types de cryptage utilisés par SSL

La clé de SSL est le cryptage. SSL utilise deux techniques de cryptage en combinaison pour des raisons de sécurité et de performances. Pour comprendre le fonctionnement de SSL, vous devez comprendre ces techniques de chiffrement. Si vous ne savez pas comment faire cela, la façon dont SSL fonctionne vous semblera abstraite. Nous présenterons les techniques de cryptage utilisées dans SSL afin que vous puissiez comprendre SSL en détail. Défions-le car il ne s'agit pas seulement d'une compréhension de SSL, mais aussi des compétences de base d'un informaticien.

Clé symétrique

Le type de mot de passe utilisé pour le cryptage, l'acte de création d'un mot de passe, s'appelle une clé. Le résultat chiffré étant différent selon cette clé, si la clé n'est pas connue, le déchiffrement, qui est un acte de déchiffrement du chiffrement, ne peut pas être effectué. La clé symétrique fait référence à une technique de cryptage dans laquelle le cryptage et le décryptage peuvent être effectués avec la même clé.

En d'autres termes, si vous avez utilisé la valeur 1234 pour le chiffrement, vous devez entrer la valeur 1234 lors du déchiffrement. Pour vous aider à comprendre, voyons comment utiliser openssl pour chiffrer avec une méthode de clé symétrique. L'exécution de la commande ci-dessous crée un fichier en clair.txt. Et il vous sera demandé un mot de passe. Le mot de passe saisi à ce moment devient la clé symétrique.

Clé publique

La méthode de la clé symétrique a ses inconvénients. Il est difficile de passer une clé symétrique entre des personnes qui échangent des mots de passe. En effet, si la clé symétrique est divulguée, l'attaquant qui a obtenu la clé peut déchiffrer le contenu du mot de passe, rendant le mot de passe inutile. La méthode de cryptage issue de ce contexte est la méthode de clé publique.

La méthode de clé publique a deux clés. S'il est chiffré avec la clé A, il peut être déchiffré avec la clé B, et s'il est chiffré avec la clé B, il peut être déchiffré avec la clé A.En se concentrant sur cette méthode, l'une des deux clés est désignée comme clé privée (également appelée clé privée, clé privée ou clé secrète), et l'autre est désignée comme clé publique.

La clé privée n'appartient qu'à soi-même et la clé publique est fournie à d'autres. D'autres qui ont reçu la clé publique chiffrent les informations à l'aide de la clé publique. Les informations cryptées sont transmises à la personne qui détient la clé privée. Le propriétaire de la clé privée utilise cette clé pour déchiffrer les informations chiffrées. Même si la clé publique est divulguée pendant ce processus, elle est sûre car les informations ne peuvent pas être déchiffrées sans connaître la clé privée. En effet, le chiffrement peut être effectué avec une clé publique, mais le déchiffrement n'est pas possible.

Certificat SSL

Le rôle des certificats SSL est assez complexe, vous devez donc connaître quelques connaissances pour comprendre le mécanisme des certificats. Un certificat a deux fonctions principales.

Comprendre ces deux éléments est essentiel pour comprendre les certificats.

• Garantit que le serveur auquel le client se connecte est un serveur de confiance.

• Fournit la clé publique à utiliser pour la communication SSL avec le client.

Californie

Le rôle du certificat garantit que le serveur auquel le client se connecte est le serveur prévu par le client. Il existe des entreprises privées qui jouent ce rôle, et ces entreprises sont appelées CA (Certificate Authority) ou Root Certificate. L'AC n'est pas quelque chose que n'importe quelle entreprise peut faire, et seules les entreprises dont la crédibilité est strictement certifiée peuvent participer. Parmi eux, les entreprises représentatives sont les suivantes. Les chiffres représentent la part de marché actuelle.

• Symantec avec 42,9% de part de marché

• Comodo avec 26%

• GoDaddy avec 14%

• GlobalSign avec 7,7%

Les services qui souhaitent fournir une communication cryptée via SSL doivent acheter un certificat via une autorité de certification. CA évalue la fiabilité d'un service de différentes manières.

Autorité de certification privée

Si vous souhaitez utiliser le cryptage SSL à des fins de développement ou à des fins privées, vous pouvez également agir vous-même en tant qu'autorité de certification. Bien sûr, ce n'est pas un certificat certifié, donc si vous utilisez le certificat d'une autorité de certification privée.

Contenu du certificat SSL

Le certificat SSL contient les informations suivantes:

• Informations de service (CA qui a émis le certificat, domaine de service, etc.)

• Clé publique côté serveur (contenu de la clé publique, méthode de cryptage de la clé publique)

Le navigateur connaît CA

Pour comprendre les certificats, une chose que vous devez savoir est la liste des autorités de certification. Le navigateur connaît en interne la liste des autorités de certification à l'avance. Cela signifie que le code source du navigateur contient une liste d'autorités de certification. Pour devenir une CA certifiée, elle doit être incluse dans la liste des CA que le navigateur connaît à l'avance. Le navigateur connaît déjà la clé publique de chaque autorité de certification ainsi que la liste des autorités de certification.