Viele Unternehmen fragen sich: Ist ein Wildcard-Zertifikat die richtige Wahl, um meine Domains zu sichern, oder sollte ich mich besser für Einzel- oder Multidomain-Zertifikate entscheiden?
Es scheint attraktiv zu sein, alles mit einem Zertifikat abzudecken. Die Praxis zeigt jedoch, dass mit Wildcard-Zertifikaten ernsthafte Risiken verbunden sind. Bei New Yard raten wir daher von Wildcard-Zertifikaten ab. In diesem Artikel erfahren Sie, warum, und welche Alternativen für moderne IT-Umgebungen besser geeignet sind.
Was ist ein Wildcard-Zertifikat?
Ein Wildcard-Zertifikat sichert Ihre Hauptdomain und alle Subdomains auf der gleichen Ebene.
Beispiel: *.newyard.co.uk de deckt automatisch mail.newyard.co.uk, portal.newyard.co.uk und shop.newyard.co.uk ab.
Das scheint effizient zu sein, aber die Einfachheit hat auch ihre Schattenseiten.
Nachteile von Wildcard-Zertifikaten
- Alles angreifbar bei Missbrauch
Wenn ein Wildcard-Zertifikat gestohlen oder missbraucht wird, sind sofort alle Subdomains gefährdet. - Keine separate Kontrolle
Sie können Subdomains nicht separat verwalten oder widerrufen. Dies ist problematisch, wenn verschiedene Teams oder Anbieter für Teile Ihrer Umgebung verantwortlich sind. - Auswirkungen einer kürzeren Lebensdauer
Zertifikate sind heutzutage nur noch ein Jahr lang gültig, bei einigen Anbietern (wie Let’s Encrypt) sogar nur 90 Tage.
Bei einer Wildcard bedeutet dies, dass Sie alle Subdomains gleichzeitig erneuern müssen. Ein Fehler oder eine Verzögerung wirkt sich daher direkt auf Ihr gesamtes Unternehmen aus.
Alternativen: Einzelzertifikate und Multi-Domain-Zertifikate
Einzelne Zertifikate
Bei separaten Zertifikaten erhält jede Subdomäne ihr eigenes Zertifikat.
- Vorteil: Die Risiken sind begrenzt; bei Missbrauch wird nur eine Domäne unsicher.
- Nachteil: mehr Arbeit und Kosten bei einer großen Anzahl von Subdomains.
Zertifikate für mehrere Domänen (SAN-Zertifikate)
Eine starke Alternative zu Wildcards ist ein Multi-Domain-Zertifikat (auch SAN-Zertifikat genannt). Damit können Sie mehrere spezifische Domänen und Subdomänen in ein einziges Zertifikat aufnehmen.
- Vorteil: Sie entscheiden, welche Subdomains abgedeckt werden, ohne dass alles automatisch unter ein Zertifikat fällt.
- Anwendungsflexibilität: ideal, wenn mehrere verwandte Produkte in einer Umgebung laufen.
Denken Sie zum Beispiel an eine Citrix-Umgebung, in der Sie Subdomänen wie z.B.:- storefront.newyard.co.uk
- wem.newyard.co.uk
- studio-web.newyard.co.uk
Auf diese Weise benötigen Sie weniger Zertifikate als bei separaten Zertifikaten, aber Sie behalten mehr Kontrolle und Sicherheit als bei einer Wildcard.
Warum New Yard keine Wildcard-Zertifikate empfiehlt
Bei New Yard sehen wir täglich die Auswirkungen von abgelaufenen oder missbräuchlich verwendeten Zertifikaten. Unsere Erfahrung zeigt, dass die mit Wildcards verbundenen Risiken zu groß sind, insbesondere jetzt, da die Lebensdauer immer kürzer wird. Ein einziger Fehler kann ein ganzes Unternehmen lahmlegen.
Wir empfehlen daher immer eine Kombination aus separaten Zertifikaten für kritische Anwendungen und Multi-Domain-Zertifikaten für verwandte Systeme, wie z.B. eine Citrix-Umgebung. Auf diese Weise kombinieren Sie Sicherheit mit einfacher Verwaltung.
Fazit
Wildcard-Zertifikate scheinen bequem und kostensparend zu sein, bergen aber zu viele Risiken.
- Haben Sie einige wenige, kritische Domains? Wählen Sie einzelne Zertifikate.
- Wenn Sie mehrere zusammenhängende Subdomains haben, zum Beispiel in einer Citrix-Umgebung, wählen Sie ein Multi-Domain-Zertifikat.
Die richtige Wahl hängt von Ihrer Umgebung, der Anzahl der Domains und dem Grad der Automatisierung ab.