缺陷/缺点UCC/UC多域SSL证书？

Question

我正在考虑将许多网站转换为使用UC或多域SSL证书。

我想我只是想知道缺点是什么。到目前为止我唯一能找到的是：

• 如果您不希望彼此识别不同的域，它们就不太理想了。
• 因为只有一个证书而不是多个证书，如果一个证书被泄露了，那么安全性风险就更大了。
• 有些人担心与旧浏览器的兼容性，还有一些移动浏览器。

我们不大量处理私人信息，只是电子邮件，姓名，组织等信息。我们确实收集信用卡付款，但数量很小。这些证书将主要用于登录。

Answer 1

加上你在上面得到的东西：

• 成本。
• 在添加或删除域时，需要重新请求和重新颁发证书。

我不太重视密钥妥协的安全性问题；如果您的web服务器被攻破，并且承载了所有这些站点，那么单独证书的私钥将与单个备用名证书的密钥一样可供攻击者访问。

Answer 2

必须考虑业绩和最新情况；

多域SSL证书很流行，它们不暴露我前面描述的通配符证书的安全风险，但它们也存在一些问题。首先，添加到证书中的SAN字段越多，证书的大小就越大，影响网站的性能。因为在加载任何内容之前，必须将证书下载到浏览器，因此您应该对所使用的SSL证书的大小特别敏感。具有5或10个SAN的多域证书可能不会有太大的区别，但50或100的证书可能会对性能产生很大影响。多域证书经常被更新以添加或删除网站。每次更改时，必须在其保护的所有网站上重新颁发和替换证书。这些更改可能是有风险的，并导致您的网站停机。

https://casecurity.org/2014/02/26/pros-and-cons-of-single-domain-multi-domain-and-wildcard-certificates/