面试题答案
一键面试单域名SSL证书
- 优点:
- 安全性高:针对单一子域名精确匹配,证书绑定特定域名,若其他子域名遭受攻击,该单域名证书不受影响,降低安全风险。比如公司的交易子域名使用单域名证书,即使其他营销子域名被入侵,交易子域名安全性依然能保障。
- 成本效益:若公司仅少数几个关键子域名有高安全需求,使用单域名证书成本较低。例如只有金融交易子域名和用户信息管理子域名使用,购买两个单域名证书相比其他方案可能更划算。
- 缺点:
- 管理成本高:每个子域名都需单独申请、安装和管理证书,当子域名数量增多时,管理工作繁琐,人力成本增加。
- 采购成本:若子域名众多,每个都单独购买证书,采购成本会大幅上升。
多域名SSL证书
- 优点:
- 管理方便:一张证书可涵盖多个子域名,减少证书管理数量,降低管理成本。如公司的交易、结算、风控等多个核心子域名可共用一张多域名证书。
- 成本效益:相比为每个子域名单独购买单域名证书,采购成本降低,尤其是子域名数量较多但又未达到大量泛用的情况下。
- 缺点:
- 安全性:若其中一个子域名安全出现漏洞,可能会影响证书涵盖的其他子域名信任度,因为它们共用一张证书。
- 成本:虽然比单域名证书整体采购成本低,但比通配符证书可能还是会高一些,尤其在子域名大量存在时。
通配符SSL证书
- 优点:
- 覆盖范围广:一张证书可保护主域名及其所有一级子域名,极大减少证书管理工作量,适合子域名众多的公司。例如主域名为example.com,所有诸如*.example.com的子域名都受保护。
- 成本效益:对于大量子域名场景,采购成本最低,因为只需购买一张通配符证书。
- 缺点:
- 安全性:一旦某个子域名被攻破,由于通配符的特性,整个主域名及其所有一级子域名的信任度可能受影响,安全风险较高。
- 成本:如果子域名数量较少,购买通配符证书可能会造成不必要的浪费,因为它价格相对较高,却只保护少量子域名。
最优方案建议及理由
- 建议:对于涉及金融交易等高安全需求场景且有多个子域名的公司,建议采用单域名证书 + 通配符证书结合的方式。
- 理由:
- 核心业务子域名:对于金融交易、用户信息管理等核心业务子域名,使用单域名证书,确保最高级别的安全性,降低风险。这些核心业务直接关乎公司经济利益和用户隐私,安全优先。
- 非核心业务子域名:对于如营销、推广等非核心业务子域名,使用通配符证书,在保障一定安全性的同时,降低管理成本和采购成本。因为这些子域名安全性要求相对较低,即使出现安全问题,对公司核心利益影响相对较小。