AWS証明書マネージャーのワイルドカード証明書の欠点はありますか?
AWS Certificate Managerを使用して、AWS CloudFrontで使用するexample.comの証明書を取得しているとします。 www.example.comの代替ドメインを指定して、DNS内の別のCloudFrontディストリビューションを指すようにすることができます。
ただし、AWS Certificate Managerでは、ワイルドカード*.example.comを代替ドメインとして指定することもできます。これにより、将来必要になった場合に、別のCloudFrontディストリビューションにblog.example.comをルーティングするようにDNSを設定できます。 。
AWS Certificate Managerに*.example.comなどのワイルドカードドメインを追加することの欠点はありますか?それはもっと費用がかかりますか?何らかの形で私の構成に柔軟性がなくなりますか?ワイルドカード*.example.comを常に代替ドメインとして指定したくないのはなぜですか。これにより、将来いつでもサブドメインを追加できる柔軟性が得られますか?
利点は、それが非常に柔軟であることです。ワイルドカード証明書を使用すると、将来代替ドメインを追加できます。一般的にスター証明書の「通常の」欠点は、高価になる可能性があり、セキュリティの脆弱性の可能性を生み出すことです。
あなたのユースケースでは、それらはまったく高価ではありません、AWS Certificate Manager 無料:
AWS Certificate Managerを通じてプロビジョニングされたパブリックSSL/TLS証明書は無料です。アプリケーションを実行するために作成したAWSリソースに対してのみ支払います。
セキュリティの脆弱性に関しては、スター証明書をサーバーにロードするときに本当に問題になります。 ACM証明書は内部で管理され、AWSサービスで使用されるため、脆弱性ははるかに低くなります。
パブリックACM証明書をWebサイトまたはアプリケーションに直接インストールすることはできません。 ACMおよびACM PCAと統合されたサービスの1つを使用して証明書をインストールする必要があります
ワイルドカード証明書の脆弱性に関する詳細を提供するいくつかのリファレンスを含めました。
参照