【導(dǎo)讀】：一張*.example.com證書若缺乏配套的子域發(fā)現(xiàn)、存活檢測(cè)與策略同步機(jī)制，只會(huì)放大攻擊面。新網(wǎng)威脅情報(bào)平臺(tái)披露：濫用泛域證書的橫向移動(dòng)攻擊同比增長(zhǎng)340%?！癗one”在此代表一套融合DNS監(jiān)控、WAF規(guī)則編排與證書生命周期聯(lián)動(dòng)的主動(dòng)防御中樞。
【能力再定義：通配符證書的真正戰(zhàn)場(chǎng)在DNS層】

技術(shù)上，*.example.com僅解決TLS層身份綁定問(wèn)題。但現(xiàn)實(shí)中，它必然牽涉更復(fù)雜的基礎(chǔ)設(shè)施協(xié)作：

DNS zone transfer權(quán)限失控 → 黑客新增evil.admin.example.com并盜用證書；
子域CNAME指向第三方SaaS → 該SaaS被入侵后反向利用你的泛域證書冒充合法流量；
DevOps Pipeline未清理測(cè)試子域 → legacy.dev.example.com仍在公網(wǎng)暴露且攜帶有有效證書。

因此，泛域證書的有效性＝證書本身有效性 × DNS管控力度 × CI/CD清潔度。“None”即新網(wǎng)為此打造的三位一體治理平面。
【四階護(hù)城河：讓二級(jí)域名證書釋放戰(zhàn)略價(jià)值】

面向成長(zhǎng)型企業(yè)，新網(wǎng)提供漸進(jìn)式強(qiáng)化路徑：

Level 1 基礎(chǔ)防護(hù)：?jiǎn)⒂肅AA DNS記錄，限定僅允新網(wǎng)CA簽發(fā)*.example.com證書；
Level 2 主動(dòng)測(cè)繪：每日調(diào)用Cloudflare Radar API掃描所有*.example.com子域，輸出活躍IP列表；
Level 3 策略圍堵：在WAF中創(chuàng)建Rule Group，對(duì)未知子域請(qǐng)求返回HTTP 403 + 自定義Header；
Level 4 證書熔斷：一旦偵測(cè)到黑名單子域（如paypal.example.com）發(fā)出TLS ClientHello，立即吊銷對(duì)應(yīng)Leaf證書。

以上全部功能集成于新網(wǎng)SSL管理中心統(tǒng)一界面，“None”即開(kāi)箱即用的子域安全基線。