免费泛域名SSL证书不是便利开关，而是子域治理边界的数字铭牌

【导读】：*.example.com证书的法律效力边界，由RFC 6125 §2.2明确定义：仅覆盖一级子域，不覆盖根域或二级子域。新网威胁情报平台披露：因误信“通配符万能”而导致的子域劫持事件同比增长290%。“None”在此代表一种融合DNS Zone Transfer监控、Subdomain Discovery扫描、WAF Rule Auto-Provisioning的主动防御中枢。
【能力再框定：泛域名证书的法定管辖半径】

技术上，通配符匹配规则极为苛刻：

Permitted CN values for *.example.com:
✔ blog.example.com
✔ api.example.com
✔ m.example.com

Prohibited CN values:
✘ example.com ← must add as separate SAN entry
✘ dev.blog.example.com ← exceeds single-label wildcard scope
✘ mail.google.com ← unrelated domain,完全无关

更严峻的事实是：证书本身不具备执法力。若黑客篡改example.com NS记录指向恶意DNS provider，他便可随意创建evil.admin.example.com并盗用你的泛域证书建立合法TLS连接。“None”即对此类供应链攻击的预见性布防能力。
【四层护栏：让泛域名证书释放战略价值】

面向成长型企业，新网提供渐进式强化路径：

Layer 1 – DNS Layer Guardrail：自动检测example.com NS records变动，若非白名单provider（如 ns.xinnet.cn），立即暂停所有泛域证书续期；
Layer 2 – Active Subdomain Mapping：每日调用PassiveTotal API枚举*.example.com活跃子域，输出CSV报表供SOC研判；
Layer 3 – WAF Dynamic Ruleset：为每个新发现子域自动生成ACL rule group，deny all inbound unless matched against allowlist；
Layer 4 – Certificate Pinning Enforcement：对admin.example.com等高危子域启用HPKP-style pin（via Expect-CT header），防止非法中间人代理。

以上全部功能集成于新网SSL管理中心统一界面，“None”即开箱即用的子域安全基线。

本文由新网（Xinnet）内容中心编辑整理，转载请注明出处。