SSL安全SaaS应用程序的URL设计

Question

我正在使用ASP.NET MVC平台开发一个应用程序，它将作为一个web服务( SaaS模型)公开。我试图确定为每个用户帐户划分URL名称空间的最佳方法。应用程序需要通过SSL安全地访问，所以我主要关心的是想出一个适合SSL证书的URL设计。以下是我想出的选择。在每个示例中，、bob、和jane是两个示例用户帐户：

选项A:每个帐户在公共域名下都有唯一的子域

例如：

https://bob.example.com
https://jane.example.com

• 这需要一个通配符SSL证书(例如映射到*.example.com)，这样每个用户都可以通过SSL无缝地访问他们的帐户。说到无缝，我的意思是在没有web浏览器的情况下警告用户SSL证书问题。我能想到的唯一缺点是通配符证书似乎比普通的固定域证书贵得多。当然，在总体方案中，成本差异是可以忽略不计的，但如果其他一切都证明是平等的，我将牢记这一点。

选项B:每个帐户都有唯一的域名

例如：

https://bobs-domain.com
https://domain-of-jane.com

• 在这种情况下，每个用户将有一个SSL证书绑定到他们的域名。我能想到的一个大缺点是，我们的服务器必须维护所有用户证书的私钥，我们必须设计一个系统，让用户能够安全地将私钥传输到我们的服务器上。即使我们有这样一个系统，我觉得要取得证书，然后向我们提交私钥，对用户来说也是一个沉重的负担。
• 或者，我们可以在每个用户注册时自动颁发和提供SSL证书，这样他们就可以开始通过SSL访问他们的应用程序，而不需要额外的步骤。这就要求我们成为SSL证书的发行者，我还没有研究过.我们很可能会成为其他一些大公司的经销商，比如Verisign，他专门从事这类业务。
• 尽管这种方法显然很痛苦，但这个选项确实使我们将来可能希望提供的一些功能，即允许用户通过自己的公司域名访问自己的应用程序的品牌版本。

选项C:每个帐户在公共域名下都有唯一的子目录

例如：

https://example.com/bob
https://example.com/jane

• 从SSL证书维护的角度来看，这可能是最好的选择。我们只需要一个固定域SSL证书(例如example.com)，它将被所有用户使用。
• 不幸的是，这个URL设计与当前应用程序体系结构的其他方面不能很好地工作，特别是在负载平衡方面。

需要反馈

我的问题是:你会选择什么选择，为什么？我特别喜欢听现实世界的例子和经验，但任何其他的问题或关切，我还没有提出，将不胜感激。

Answer 1

我将使用A。这个解决方案并不是很昂贵，它的扩展性很好，并且不限制您使用自定义域，如果您稍后决定这样做的话。

通配符证书过去是相当昂贵的，但今天你可以在GoDaddy或RapidSSL每年获得大约200美元，我认为这是相当便宜的。这些证书在(几乎)任何浏览器中都能工作，但是它们没有附带VeriSign提供的验证。我不知道你是否需要这个。

如果您使用选项B，您必须为每个用户购买一个证书，但是如果使用通配符证书，证书将在几个注册后支付，其余将是纯收入。

除此之外，解决方案实际上很容易实现，这也是一种优势。

Answer 2

听起来像是我的选择B。这是唯一一个似乎是( a)与您的架构和b)工作与您的潜在的未来目标。您可以将自定义域的SSL证书的价格作为服务启动成本的一部分(或者将成本摊销到每月的费用中)。

我看不出A和B之间有什么真正的区别，它们实际上是完全相同的，只不过你可以为A使用一个外卡证书，你只是不需要这么做。没有外卡方面，A == B，它们都是example.com的子域这一事实是巧合。

即使在一开始就有选项A，如果您希望为客户提供这样的服务功能，则可以在后面扩展到选项B。

Answer 3

选项B对用户有很大的价值，如果我有选择的话，我会选择这条路线。请记住，您可以购买多域ssl证书/ UCC，并且可以在一个证书下获得最多100个域。如果有其他认证，允许更多的100 -让我知道，因为我们正在建立一个SAAS模型，以及有类似的问题。