子網域名稱與憑證
當你在 servicename.service.gov.uk
營運一個服務時,你將會需要測試和開發環境。假設它們都得要用 HTTPS,我們建議以下面這個命名慣例去購買萬用憑證:
- *.preview.servicename.service.gov.uk
- *.staging.servicename.service.gov.uk
- *.servicename.service.gov.uk
為何我們偏好萬用憑證的理由包括:
- 可以做 HTTPS 的 HTTP 1.1 virtual hosting 而不用依賴 Server Name Indication (SNI)。這很重要,因為傳統軟體不支援 SNI。要一舉列盡一個網域下所有的域名不太可能,所以只要允許使用萬用字元,我們就可以滿足這個需求。(你可以有面向外界的 www、admin 和 assets,但也可以有不公開的 logging、monitoring 和其他依舊需要 TLS 的服務。)
- 預覽、staging、production 各擁有一個不同的憑證,意味著我們可以限制誰才能存取那憑證。從營運安全的角度而言這是比較好的。我們不該在 production 環境用和開發/測試環境一樣的憑證。
譯者:盧紀憲
校稿者:
原始出處:https://www.gov.uk/service-manual/domain-names/service-subdomain-names.html