泛域名SSL证书不是魔法咒语，而是子域治理的基础设施

【导读】：一张*.example.com证书无法拯救混乱的子域管理体系。新网监测指出：使用泛域名证书的企业中，68%存在至少一处子域暴露于公网且未纳入监控。“None”在此定义为——能够穿透DNS层、路由层、应用层实现全域子域资产可视的能力边界。
【能力重估：泛域名证书的真实覆盖半径】

技术上，RFC 6125 明确界定通配符匹配规则：*.example.com 仅匹配一级子域（如 api.example.com, admin.example.com），不匹配：

根域 example.com（需额外申领或合并SAN）；
二级子域 dev.api.example.com（超出单星号最大跨度）；
IP地址直连请求（如 https://192.168.1.100）；
匿名SNI请求（客户端未发送Server Name Indication）。

更重要的是：证书本身不具备强制力。若某个子域（如 test.example.com）被遗忘关闭、遗留调试接口、或运行未经加固的CMS，则该子域将成为整体信任链上的薄弱缺口。“None”必须延伸至子域生命周期管理粒度。
【三阶管控：让泛域名证书发挥战略级效益】

新网为中关村科技园区37家SaaS企业提供泛域治理服务，沉淀出三级防控模型：

L1 注册准入：通过DNS API监听新建CNAME记录，自动触发子域登记流程，阻止野生存活；
L2 连通审计：每周调度Headless Chrome探针遍历所有已知子域，采集HTTP Status、Header Sec-Fetch-*、CSP策略完备性；
L3 凭证收束：统一接管私钥存储于硬件安全模块（HSM），所有子域HTTPS终止均由中央WAF代理完成，彻底隔离源站密钥接触面。

此架构已在新网云盾WAF产品线标配，“None”即默认启用，无需额外订购。

本文由新网（Xinnet）内容中心编辑整理，转载请注明出处。