Die Wildcard: Verschlüsselung mehrerer Domains durch SSL Zertifikate

Autor:   |  19.06.2019


SSL Wildcard ZertifikateDie Verschlüsselung einer Website erfolgt über das Hypertext Transfer Protocol Secure (HTTPS) in Kombination mit einem SSL Zertifikat, das alle notwendigen Informationen für den Aufbau einer sicheren Verbindung beinhaltet. Dieses ist fest an eine bestimmte Domainadresse (URL) gebunden und kann ausschließlich für diese verwendet werden. Bei der Verwendung einer Subdomain wie zum Beispiel ftp.example.com benötigen diese entweder eine allgemeine Wildcard oder ein eigenes, individuelles SSL Server Zertifikat.

 

Ein Wildcard SSL Zertifikat schützt beliebig viele Subdomains

Bei einer verzweigten Infrastruktur mit einer großen Zahl von Unterdomains - ganz korrekt werden diese als Third-Level-Domains bezeichnet - ist es zeit- und arbeitsaufwendig, für jede von ihnen ein eigenes SSL Server Zertifikat zu verwenden. Aus diesem Grund existieren seit 2008 Wildcard Zertifikate für eine Website, die die Verschlüsselung mehrerer Domains über HTTPS erlauben. Wildcard steht in der IT-Branche für einen Platzhalter - einer der bekanntesten ist das Sternchen oder der Asterisk *, der eine beliebig große Zahl von unterschiedlichen oder gleichen Buchstaben oder Zahlen einschließt. Eine Spezifizierung durch weitere Buchstaben ist ebenfalls möglich, um einen Bereich weiter einzugrenzen. Der Asterisk ist die mit Abstand am häufigsten verwendete Wildcard und kommt auch bei dem SSL Zertifikat zum Einsatz. Einige gültige Beispiele sind:

  • *.example.com
  • f*.example.com
  • *.ftp.example.com
  • w*w.example.com

Die Einschränkung des Geltungsbereichs kann in einigen Fällen aus unterschiedlichen Gründen sinnvoll sein - zum Beispiel, um für eine bestimmte Website ein anderes SSL Zertifikat verwenden, den Subdomains unterschiedliche Inhaber zuordnen oder bestimmte Adressen explizit ausschließen zu können. Ein Asterisk steht jeweils für einen oder mehrere Buchstaben - die Kombination f*.example.com schließt also Domains wie ftp.example.com ebenso wie free.example.com ein.

Einschränkungen bei einem Wildcard SSL Zertifikat

Es ist sehr wichtig, ein Wildcard SSL Zertifikat korrekt zu verwenden und seine Einschränkungen zu kennen, um eine Verschlüsselung über HTTPS zu erreichen und nicht aus Versehen bestimmte Teile auszuschließen. Aus diesem Grund müssen folgende Regeln strikt beachtet werden:

  • Eine Wildcard schützt nur ein konkretes Level - weder die darüber noch darunter.
  • Eine Kombination mehrerer Platzhalter wie zum Beispiel *.*.example.com ist verboten.
  • Das SSL Zertifikat nutzt für alle betroffenen Subdomains dieselbe HTTPS Verschlüsselung.
  • Die Kombination mehrerer Wildcards innerhalb einem einzelnen SSL Zertifikat ist erlaubt.
  • Eine Individualisierung von Informationen wie Inhaber einzelner Instanzen ist nicht möglich.

Konkret bedeutet dies in den oberen Beispielen, dass die Wildcard *.example.com HTTPS auf verschiedenen Unterleveln wie www.example.com, ftp.example.com und mail.example.com erlaubt, nicht aber auf der Website example.com oder auf darunter liegenden Ebenen wie ftp.www.example.com. Diese müssen entweder zusätzlich angegeben werden oder benötigen ein eigenes SSL Server Zertifikat. Wie jedes SSL Zertfikat muss auch eine Wildcard von der ausstellenden Zertifizierungsstelle auf ihren Inhaber überprüft werden, bevor sie erteilt wird. Welche Varianten zur Authentifizierung der Website sie anbietet, ob über Unternehmen, Inhaber, Domain Name System (DNS) oder Server, bleibt ihr überlassen und sollte bei einem SSL Zertifikat Vergleich berücksichtigt werden. Kostenlose Anbieter wie zum Beispiel Lets Encrypt bieten wegen des sonst hohen Aufwands meist nur einige automatisierte Verfahren an.

Vorteile einer Wildcard und mögliche Alternativen

Bei einer verzweigten Website mit kostenpflichtigen Zertifikaten hilft eine Wildcard, die Ausgaben deutlich zu reduzieren. Darüber hinaus erleichtert sie die Administration von HTTPS und wirkt sich günstig auf die Performance eines Servers aus, weil ein Teil der rechenaufwendigen Kryptografie durch einen einheitlichen Schlüssel entfällt. Für die Verschlüsselung einer Website existieren nur wenige Alternativen zu HTTPS, die darüber hinaus in der Regel auch technisch aufwendig sind. Die Verwendung einer Wildcard lässt sich hingegen einfach vermeiden, indem für jede Subdomain ein eigenes SSL Zertifikat beantragt und verwendet wird. Dies führt bei Anbietern wie Lets Encrypt nicht zu höheren Kosten, erschwert aber die Verwaltung und ist für eine verzweigte Website - beispielsweise einem Anbieter mit kundenspezifischen Unteradressen - wenig praktikabel.

Foto: typographyimages - pixabay.com