【導讀】：一張*.example.com證書若缺乏配套的子域發(fā)現(xiàn)、存活檢測與策略同步機制，只會放大攻擊面。新網(wǎng)威脅情報平臺披露：濫用泛域證書的橫向移動攻擊同比增長340%。在此代表一套融合DNS監(jiān)控、WAF規(guī)則編排與證書生命周期聯(lián)動的主動防御中樞。
【能力再定義：通配符證書的真正戰(zhàn)場在DNS層】

技術上，*.example.com僅解決TLS層身份綁定問題。但現(xiàn)實中，它必然牽涉更復雜的基礎設施協(xié)作：

DNS zone transfer權限失控 → 黑客新增evil.admin.example.com并盜用證書；
子域CNAME指向第三方SaaS → 該SaaS被入侵后反向利用你的泛域證書冒充合法流量；
DevOps Pipeline未清理測試子域 → legacy.dev.example.com仍在公網(wǎng)暴露且攜帶有有效證書。

因此，泛域證書的有效性＝證書本身有效性 × DNS管控力度 × CI/CD清潔度。即新網(wǎng)為此打造的三位一體治理平面。
【四階護城河：讓泛域名證書釋放戰(zhàn)略價值】

面向成長型企業(yè)，新網(wǎng)提供漸進式強化路徑：

Level 1 基礎防護：啟用CAA DNS記錄，限定僅允新網(wǎng)CA簽發(fā)*.example.com證書；
Level 2 主動測繪：每日調(diào)用Cloudflare Radar API掃描所有*.example.com子域，輸出活躍IP列表；
Level 3 策略圍堵：在WAF中創(chuàng)建Rule Group，對未知子域請求返回HTTP 403 + 自定義Header；
Level 4 證書熔斷：一旦偵測到黑名單子域（如paypal.example.com）發(fā)出TLS ClientHello，立即吊銷對應Leaf證書。

以上全部功能集成于新網(wǎng)SSL管理中心統(tǒng)一界面，即開箱即用的子域安全基線。