Wie sichert man eine grosse Anzahl von Subdomains mit SSL

Aus SSLplus
Version vom 25. August 2014, 16:23 Uhr von Iceiden (Diskussion | Beiträge) (SSL Wildcard)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

SSL Wildcard

So funktioniert die Verschlüsselung unlimitiert vieler Subdomains

Soll eine Vielzahl von Domainnamen mittels SSL geschützt werden, so sind hierfür im Normalfalle entsprechend viele Singleroot SSL Zertifikate erforderlich. Handelt es sich bei den Domains hingegen um Subdomains (korrekt ist eigentlich die Bezeichnung "Third-Level-Domains") bietet der Markt zur Verschlüsselung spezielle Wildcard SSL Zertifikate. Sie sichern eine unbegrenzte Anzahl an Subdomains unterhalb der Second-Level-Domain ab und bieten somit nicht nur den Vorteil einer besseren Kosteneffizienz bei der SSL Verschlüsselung. Da nur ein SSL Zertifikat im Server installiert werden muss, sparen sie zudem Arbeitszeit und mögliche Fehlerquellen bei der Einrichtung und späteren Verlängerung.

Die Absicherung von unbegrenzt vielen Subdomains funktioniert technisch gesehen über einen Platzhalter im SSL Zertifikat. Ein Wildcard SSL Zertifikat welches beispielsweise für „icertificate.eu“ ausgestellt werden soll, wird statt auf eine konkrete Subdomain übergreifend auf die Domain „*.icertificate.eu“ ausgestellt. Das Sternsymbol fungiert ähnlich wie bei CatchAll-Mailadressen als Stellvertreter jeder angefragten Third-Level-Domain, also für jede beliebige Subdomain, die unterhalb von „icertificate.eu“ angelegt ist.

Diese Technik funktioniert mit allen gängigen Browsern und mobilen Endgeräten sowie den gängigen Webservern wie beispielsweise „Apache“ oder „nginx“. Eine Ausnahme stellt hier der Microsoft Exchange sowie der IIS von Microsoft dar. Hier kann ein Wildcard SSL Zertifikat zu Fehlermeldungen führen und wird in Verbindung mit den Microsoft Server Produkten nicht empfohlen.

Wildcard SSL Zertifikate gibt es von nahezu allen Zertifizierungsstellen wie beispielsweise Symantec, SwissSign, Digicert, GeoTrust, Thawte, GlobalSign, Comodo oder RapidSSL. Unterschiede finden sich in der Art der Validierung (Domainvalidierung, Unternehmensvalidierung) sowie in der Art der Serverlizenz, also der Möglichkeit, das SSL Zertifikat nur auf einem oder gleich auf mehreren Servern in Betrieb zu nehmen.

Ein Wildcard SSL Zertifikat mit Erweiterter Validierung, also der grünen Adressleiste, gibt es übrigens leider nicht. Dies liegt an den hohen Validierungsansprüchen, die seitens der Zertifizierungsstellen an EV SSL Zertifikate gestellt werden. Da bei Ausstellung des Wildcard SSL Zertifikates die späteren Subdomains nicht bekannt sein müssen, scheitert die Erweiterte Validierung an der Unbestimmtheit des Schutzbereiches. Sollen mehrere unterschiedliche Domainnamen mittels Erweiterter Validierung (EV) abgesichert werden, muss nach wie vor auf Einzelzertifikate oder auf Multidomain SSL Zertifikate zurückgegriffen werden.