如果在多台服务器上使用，除了安全性和漏洞利用之外，是否有安全原因不使用通配符证书？

我有一位安全顾问告诉我，出于安全原因，我们不能使用通配符SSL证书。需要明确的是，我更喜欢使用单个证书或多域证书（SAN）。但是，我们需要服务器（请求）到子域的服务器100。

根据我的研究，人们站点不使用通配符的主要原因是来自verisign的以下原因：

• 安全性：如果一台服务器或子域受到威胁，则所有子域都可能受到威胁。
• 管理：如果需要吊销通配符证书，则所有子域都需要一个新证书。
• 兼容性：通配符证书可能无法与
  较旧的服务器-客户端配置无缝兼容。
• 保护：VeriSign通配符SSL证书不受NetSure扩展保修的保护。

由于私钥，证书和子域都将存在于同一服务器上，因此替换就像替换该证书并影响相同数量的用户一样简单。因此，还有其他原因不使用通配符证书吗？

我知道的唯一其他“陷阱”是扩展验证证书不能与通配符一起颁发，因此如果要使用EV证书，则这不是一个选择。

在安全性方面，您已触及到了头-单个私钥保护了通配符下的所有域。因此，例如，如果您有一个涵盖www.example.com并something.example.com遭到破坏的多域SAN证书，则只有这两个域才有受到泄露密钥攻击的风险。

但是，如果同一系统运行的*.example.com证书却无法处理该域www和something子域的SSL流量，并且遭到破坏，则该通配符涵盖的所有内容都可能受到威胁，即使服务不是直接托管在该服务器上也是如此webmail.example.com。

安全性：如果一台服务器或子域受到威胁，则所有子域都可能受到威胁。

如果您为数百个虚拟主机使用单个Web服务器，则该Web服务器进程将需要读取所有私钥。如果一个人可以读取一个密钥/证书就可以破坏系统，那么他们很可能已经入侵了该网络服务器使用的所有私钥/证书。

密钥通常以仅允许root用户访问它们的特权存储在文件系统上。因此，如果您的系统是根目录，则可能丢失了所有内容。拥有一个或多个证书并不重要。

管理：如果需要吊销通配符证书，则所有子域都需要一个新证书。

如果对* .example.org使用通配符，则只需替换单个证书。如果您有一个证书用于one.example.org，two.example.org和three.example.org，则必须替换3个证书。因此，通配符证书的工作量较小。因此，是的，该证书将被吊销并替换，但是由于您只需要替换一个而不是数百个，这应该非常容易。

兼容性：通配符证书可能无法与较旧的服务器-客户端配置无缝兼容。

这些系统几乎肯定需要更新。他们几乎肯定还有许多其他漏洞。