Подойдет ли wildcard ssl сертификат?

Question

[Rukis]

Есть сервис в котором пользователи могут создавать собственные поддомены и что то размещать на них. Хотелось бы автоматически предоставлять всем поддоменам HTTPS. Правильно ли я понимаю, что wildcard подойдет для этого? То есть его требуется единожды получить и установить и любые будущие поддомены будут защищены без каких либо дополнительных телодвижений?

Есть ли какие то ограничения и особенности?

Comments

[JP Mehta]

.

Answer 1

[Алекс Арт]

Правильно ты понимаешь за одним исключением - в хостах поддоменов надо также подключать этот сертификат. Могу по-дешёвке продать сертик. Обращайся

Comments

[Rukis]

А если используется универсальный хост для всех поддоменов?

[Алекс Арт]

Rukis, тогда я не понимаю как ты собираешься в одном хосте прописать разные пути к каждому пользователю в зависимости от поддомена. Но если сможешь, то да, такой хост тебе подойдёт с wild-card сертиком

[Rukis]

Алекс Арт, хост один. Поддомен передается в приложение и дальше всё разруливается им.

Answer 2

[Boris Köln]

> Правильно ли я понимаю, что wildcard подойдет для этого?
Да

> То есть его требуется единожды получить и установить
Да, но не единожды. Сертификат имеет срок действия от 3 месяцев до 2 лет. До истечения срока надо его продлить (получить новый).

Рекомендую бесплатный Let's Encrypt и настроить его автоматическое обновление.
https://habrahabr.ru/post/270273/

Comments

[Rukis]

У Let's Encrypt нет wildcard

[Boris Köln]

Тогда на каждый поддомен можно автоматически получать новый сертификат.

[Владимир Муковоз]

Boris Korobkov, в рамках сервиса где заранее не известны все возможные поддомены это мозгоделка) проще отвалить 4к и пользоваться сертом на все поддомены.

[Boris Köln]

Владимир Муковоз, у автора вопроса поддомен создается для конкретного юзера. Это небольшое число, для которого создать сертификат не сложнее, чем создать хост, поддомен и пр.

[Владимир Муковоз]

Boris Korobkov, верно, но для этого нужно перезапускать nginx. Конечно те же панельки это делают автоматом, но я сомневаюсь что в его сервисе есть такая функция, а дописывать её будет дороже чем просто купить серт и не париться. К тому же lets не умеет SNI, а из-за этого лишается поддержка части браузеров, например ведроид 2 уже на сайт не зайдёт.

[Rukis]

Boris Korobkov, поддомены создаются самими юзерами из приложения, без перезапусков, мгновенно. Число пользователей не ограничено, так же как и поддоменов. А хост nginx 1 на все поддомены.

Владимир Муковоз, да вы правы, Let's конечно хорош, но в этой ситуации слишком всё усложняется.

Answer 3

[Ольга Ветер]

Так же ряд wildcard сертификатов распространяется ТОЛЬКО на поддомены, не затрагивая сам домен, а некоторые и на домен, и на поддомены. Уточняйте внимательно этот момент.

Comments

[Владимир Муковоз]

впервые такое слышу, можете показать какие не распространяются на сам домен?

[Ольга Ветер]

Сужу по этой справке, но может быть там врут. https://www.reg.ru/support/ssl-sertifikaty/obshtay...

Answer 4

[boss_lexa]

Бесплатный Let's Encrypt wildcard будет с 2018 года
https://habrahabr.ru/post/332594/

А пока тут дешевле всего
https://www.ssl2buy.com/wildcard-ssl-certificate

Answer 5

[Sue Bass]

Yes, Wildcard SSL certificate is suitable. Because it secures unlimited sub domains of the main domain. With Wildcard SSL certificate, you can add additional sub domains of the main domain afterwards too. But before that particular Wildcard SSL certificate expiry date.

Answer 6

[JP Mehta]

Да, в самом деле! SSL-сертификат Wildcard отлично подходит для веб-сайтов с поддоменами.

Получение SSL индивидуально для основного домена и всех его поддоменов — дорогостоящий и трудоемкий процесс. SSL-сертификат Wildcard — это подходящее решение, которое предлагает шифрование HTTPS для основного домена и всех его поддоменов под одним и тем же сертификатом SSL.

Сертификат Wildcard SSL также предоставляет ряд других преимуществ наряду с безопасностью поддоменов согласно: https://certera.com/kb/advantages-of-wildcard-ssl-...