Utilisation de certificats génériques pour un déploiement multi-serveur
Actuellement, nous déployons une API bêta pour nos services et nous souhaitons que toutes les demandes/réponses de l'API fonctionnent via https. Je suis confus quant à l'utilisation de certificats génériques pour les deux URL api et www. Est-ce une bonne idée d'utiliser un certificat générique pour api.example.com et www.example.com? Y a-t-il des inconvénients?
Qu'en est-il de ces certificats 1 serveur seulement? Parce que je déploie mon API sur n serveurs avec un équilibreur de charge à l'avant.
Vous avez raison, l'utilisation d'un certificat générique est une excellente idée dans ce cas. Cela simplifiera la configuration de vos domaines distincts et garantira que tous les sous-domaines que vous décidez d'ajouter fonctionneront.
Il y a quelques inconvénients:
- Votre domaine de premier niveau n'est pas sécurisé. Comme dans, le certificat n'est pas bon pour example.com.
- Ils coûtent très cher, normalement autour de 1 000 dollars.
En ce qui concerne les certificats à serveur unique, cela dépend de l'accord que vous concluez lors de l'achat du certificat. Certains autoriseront l’installation du certificat sur plusieurs serveurs, d’autres pas. En outre, je ne sais pas comment ni s’ils vérifient que le certificat n’est installé que sur un seul serveur. Vous pourriez peut-être vous en tirer ...
De plus, si vous utilisez un équilibreur de charge, je vous recommande d'installer le certificat là-bas, si votre matériel le permet. Je sais que la série Cisco CSS possède un module matériel dédié qui gère tout le chiffrement et le déchiffrement, en économisant du travail pour vos serveurs.
Le seul problème que j’ai vu avec les certificats génériques est qu’ils ne semblent pas en avoir. Ce n'est vraiment un problème si vous voulez que le navigateur cool chrome dise "hé, ce site est officiellement bon et vertifié". Si vous recherchez uniquement un transport sécurisé et ne vous souciez pas de la confiance des clients en matière d'achat, optez pour une solution économique. Ou achetez EV pour le serveur www et un caractère générique pour l'API.