通配符SSL证书

通配符SSL证书（WCSSL证书）可保护一个标有通配符(*)的主域名和与该主域名同级别的无限子域名。无论您有20个子域名还是2000个子域名，您都可以使用单个WC证书保护所有子域名。

让我们花一点时间来了解子域名的级别含义。

示例网站的主域名以星号标记，即*zyyx.cn。

一级子域名将是这样的：

示例.com

示例.com

示例.com

示例.com

二级子域名看起来如下：

mail.zyyx.cn

shop.zyyx.cn

blog.zyyx.cn

dev.zyyx.cn

第三级子域名将类似于primary.login.zyyx.cn...等等。

需要注意的是，通配符SSL将保护同一级别的多个子域名，而不是多个级别的子域名。因此，如果您拥有*zyyx.cn的WCSSL，则您正在保护第一级子域名。如果您添加新的子域名-music.zyyx.cn或news.zyyx.cn，它们将自动添加到证书中并受到保护。

但是，第二级和第三级子域名将不会受此通配符SSL证书的保护。您必须购买另一个WCSSL证书来保护*shop.zyyx.cn或*mail.zyyx.cn下的子域名。

优点

通配符SSL证书更易于管理，因为域名及其无限的子域名都由单个证书保护。

这是一个灵活的解决方案，因为只要证书在有效期内，同级的新子域就会自动添加到证书中并立即受到保护。组织无需重新颁发证书来添加这些新的子域。

类似地，可以在必要时删除子域名，而无需重新颁发证书。

WCSSL证书是保护多个子域名的经济实惠、多功能且实用的解决方案。您无需在多个证书上花费大量资金。

通配符SSL还提供SAN（主题备用名称）功能，使组织能够保护其他域名。

缺点

通配符SSL证书仅适用于域验证和组织验证保证级别。

扩展验证不是一种选择。例如，如果攻击者创建欺诈性子域，它将自动添加到证书中，而无需验证或确认。攻击者可能会利用这一点对用户进行网络钓鱼攻击。

它不能在多个级别上保护子域的安全。

如果多方管理不同的子域，则需要在这些方之间共享私钥。这会带来未经授权的访问、数据泄露和其他攻击的风险。

如果一个子域名被攻破，其他子域名被攻破的可能性也很高。

SANSSL证书

SANSSL证书也称为多域SSL证书和统一通信证书(UCC)。SAN（主题备用名称）SSL可在单个SSL证书下保护多个完全限定域名(FQDN)和子域。

主域称为通用名称(CN)，附加域称为SAN。SAN可以是其他FQDN、具有其他域(TLD)的域、子域或其他变体。

例如，借助SANSSL证书，组织可以保护：

www.zyyx.cn

示例.com

www.zyyx.cn

www.xcc.cn

zyyx.cn

例子.co.uk

blog.zyyx.cn

anything.zyyx.cn

dev.zyyx.cn

mail.zyyx.cn

mail.zyyx.cn

证书所有者在进行证书签名请求(CSR)时需要明确说明他们希望在多域SSL证书下保护的CN和所有SAN。如果组织希望稍后向证书添加更多SAN，则必须重新颁发证书；这些新的SAN不会自动添加到证书中。

优点

SAN SSL提供所有级别的验证-域、组织和扩展验证。

多功能SANSSL证书使组织能够保护Web服务器主机名、IP地址、私有主机名、支付网关和防火墙设备等。

根据证书颁发机构和所选的计划，您可能能够在单个SANSSL证书下保护50到250个额外的SAN。

对于希望使用单个证书保护多个域和子域的组织来说，它可以节省时间和成本。此外，它更易于管理。

缺点

如果要在证书中添加新的子域或域名，则需要重新颁发证书。这会给网站带来风险和停机时间。

如果私钥被盗或证书过期，则所有域和子域都容易受到攻击和数据泄露。

通配符SSL与SAN SSL证书—选择哪一个？

尽管存在差异，SAN和WildcardSSL证书都提供类似的加密强度（256位），并且与大多数浏览器和设备兼容。 

如果您想保护根域及其子域，那么使用通配符SSL证书是明智之举。另一方面，如果您有多个域并且想要朝那个方向扩展保护，那么SAN证书是正确的选择。