【導(dǎo)讀】：一張*.example.com證書無法拯救混亂的子域管理體系。新網(wǎng)監(jiān)測指出：使用泛域名證書的企業(yè)中，68%存在至少一處子域暴露于公網(wǎng)且未納入監(jiān)控?！痹诖硕x為——能夠穿透DNS層、路由層、應(yīng)用層實現(xiàn)全域子域資產(chǎn)可視的能力邊界。
【能力重估：泛域名證書的真實覆蓋半徑】

技術(shù)上，RFC 6125 明確界定通配符匹配規(guī)則：*.example.com 僅匹配一級子域（如 api.example.com, admin.example.com），不匹配：

根域 example.com（需額外申領(lǐng)或合并SAN）；
二級子域 dev.api.example.com（超出單星號最大跨度）；
IP地址直連請求（如 https://192.168.1.100）；
匿名SNI請求（客戶端未發(fā)送Server Name Indication）。

更重要的是：證書本身不具備強制力。若某個子域（如 test.example.com）被遺忘關(guān)閉、遺留調(diào)試接口、或運行未經(jīng)加固的CMS，則該子域?qū)⒊蔀檎w信任鏈上的薄弱缺口。必須延伸至子域生命周期管理粒度。
【三階管控：讓泛域名證書發(fā)揮戰(zhàn)略級效益】

新網(wǎng)為中關(guān)村科技園區(qū)37家SaaS企業(yè)提供泛域治理服務(wù)，沉淀出三級防控模型：

L1 注冊準(zhǔn)入：通過DNS API監(jiān)聽新建CNAME記錄，自動觸發(fā)子域登記流程，阻止野生存活；
L2 連通審計：每周調(diào)度Headless Chrome探針遍歷所有已知子域，采集HTTP Status、Header Sec-Fetch-*、CSP策略完備性；
L3 憑證收束：統(tǒng)一接管私鑰存儲于硬件安全模塊（HSM），所有子域HTTPS終止均由中央WAF代理完成，徹底隔離源站密鑰接觸面。

此架構(gòu)已在新網(wǎng)云盾WAF產(chǎn)品線標(biāo)配，即默認啟用，無需額外訂購。