現在、サービス用のベータAPIを展開しており、APIからのすべての要求/応答がhttps経由で機能するようにしたいと考えています。 api
とwww
の両方のURLにワイルドカード証明書を使用することについて混乱しています。 api.example.com
とwww.example.com
の両方にワイルドカード証明書を使用することをお勧めしますか?ご不便はありませんか?
それらの1サーバーのみの証明書はどうですか? APIをnサーバーにデプロイしているのは、ロードバランサーが前面にあるためです。
この場合、ワイルドカード証明書を使用するのは素晴らしい考えです。個々のドメインの構成をシンプルに保ち、追加するサブドメインが機能することを確認します。
いくつかの欠点があります。
-トップレベルドメインは安全ではありません。同様に、証明書はexample.com
には適していません。
-それらは非常に高価で、通常は$ 1k前後です。
1サーバーのみの証明書については、証明書の購入時に行う契約に依存します。複数のサーバーに証明書をインストールできるものもあれば、そうでないものもあります。また、証明書が単一のサーバーにのみインストールされていることをどのように確認するか、または確認するかどうかもわかりません。あなたはそれで逃げることができるかもしれません...
また、ロードバランサーを使用している場合、ハードウェアで許可されている場合は、そこに証明書をインストールすることをお勧めします。 Cisco CSSシリーズには、すべての暗号化と復号化を処理する専用のハードウェアモジュールがあり、サーバーの作業を節約できることがわかっています。
これまでワイルドカード証明書で見た唯一の問題は、EVをサポートする証明書を持っていないように見えることです。これは、クールなブラウザchromeに「ねえ、このサイトは公式にOKであり、正当化されている」と言う場合にのみ本当に心配です。安全な交通手段を探しているだけで、顧客が自信を持って購入することを気にしない場合は、安い方法で行ってください。または、wwwサーバー用にEVを、API用にワイルドカードを購入します。