Допустим, я использую AWS Certificate Manager, чтобы получить сертификат для example.com для использования с AWS CloudFront. Я могу указать альтернативный домен www.example.com и укажите его на другой дистрибутив CloudFront в моем DNS.
Но AWS Certificate Manager также позволяет мне указать подстановочный знак *.example.com в качестве альтернативного домена, что позволит мне в будущем настроить мой DNS для маршрутизации blog.example.com к еще одному дистрибутиву CloudFront, если я решу, что мне это нужно.
Есть ли недостатки в добавлении подстановочного домена, такого как *.example.com к AWS Certificate Manager? Это стоит дороже? Делает ли это каким-то образом мою конфигурацию негибкой? Почему бы мне не всегда указывать подстановочный знак *.example.com в качестве альтернативного домена, так как это дает мне возможность добавлять субдомен в будущем, когда я захочу?
Плюс в том, что он очень гибкий. Сертификат с подстановочными знаками позволяет добавлять в будущем альтернативные домены. «Обычные» недостатки звездообразного сертификата в целом заключаются в том, что они могут быть дорогими и создают потенциал для уязвимости системы безопасности.
Для вашего варианта использования они совсем не дорогие, AWS Certificate Manager это бесплатно:
Публичные сертификаты SSL / TLS, предоставляемые через AWS Certificate Manager, предоставляются бесплатно. Вы платите только за ресурсы AWS, которые вы создаете для запуска своего приложения.
Что касается уязвимости системы безопасности, это действительно проблема, когда вы загружаете звездный сертификат на сервер. Поскольку ACM сертификат управляется внутренне и используется в сервисе AWS, он гораздо менее уязвим.
Вы не можете установить общедоступные сертификаты ACM прямо на своем веб-сайте или в приложении. Вы должны установить свой сертификат с помощью одной из служб, интегрированных с ACM и ACM PCA.
Я включил несколько ссылок с более подробной информацией об уязвимостях сертификатов с подстановочными знаками.
Ссылки
Цены на диспетчер сертификатов
Сертификаты с подстановочными знаками делают шифрование более простым, но менее безопасным
Какие уязвимости могут быть вызваны сертификатом SSL с подстановочными знаками