ワイルドカード証明書は便利ですが、広範囲な障害(ブラスト半径)を引き起こします。期限切れが数十のサブドメインを同時に停止させる仕組みを学びます。
1つのワイルドカード証明書 (*.yourdomain.com) は非常に便利です。1つの暗号資産で、API、ステージング環境、ダッシュボード、内部管理パネルを保護できます。しかし、システムの信頼性において、便利さは障害に対する回復力(レジリエンス)の敵になることがよくあります。
ほとんどのインシデントは単一の障害で発生するのではなく、密結合されたコンポーネントが同時に故障することで引き起こされます。ワイルドカード証明書は、非常に壊れやすい巨大な単一障害点(SPOF)となります。
特定のSAN(Subject Alternative Name)証明書(例:api.staging.yourdomain.com)が期限切れになった場合、停止するのはステージングのAPIのみで、障害は局所化されます。
しかし、ワイルドカード証明書が期限切れになると、その影響は破滅的です。そのキーペアに依存するすべてのエンドポイントが正確に同じミリ秒で失敗します。公開マーケティングサイトがダウンし、決済APIがハンドシェイクを終了します。内部のデプロイ用ダッシュボードまでアクセス不能になり、運用チームが復旧に必要なツールから締め出されることもあります。
期限切れ以外にも、ワイルドカードは重大なセキュリティ上の問題を引き起こします。分散型マイクロサービスアーキテクチャでワイルドカードを使用するには、秘密鍵を複製して複数のIngressコントローラー、ロードバランサー、外部CDNに配布する必要があります。
単一のエッジノードが侵害され、秘密鍵が抽出された場合、攻撃者は任意のサブドメインになりすますことができます。ステージングのトラフィックを傍受するだけでなく、本番の認証エンドポイントになりすますための暗号材料を手に入れることになります。
ワイルドカードの追跡は非常に困難です。ゾーンファイルをスキャンするだけでは、証明書がどこにデプロイされているか分からないからです。実際には、移行後にどの古いロードバランサーがまだ古いワイルドカードを使用しているかを運用チームが見失うことで失敗します。
アーキテクチャ上のベストプラクティスは、サービス境界ごとに詳細な、自動更新されるSAN証明書を利用することです。
増加する証明書を手動で追跡することはできません。Heimdall Observerは、これらの詳細なエンドポイントに対して包括的な可視性を提供します。各サブドメインを個別に監視することで、Heimdallは各TLSスコープが検証されるようにし、ワイルドカードのような破滅的な障害範囲をもたらすことなく制御を可能にします。
可用性、インシデント対応、そしてユーザーが気づく前に問題を表面化させるモニタリングシステムの構築に焦点を当てた、シニアシステム信頼性エンジニア(SRE)。
