wildcard ssl для піддомену [закрито]

146

Зачинено. Це питання поза темою . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для переповнення стека.

Закрито 7 років тому .

ми маємо wildcard ssl сертифікат для * .domain.com та маємо веб-сайт з sub1.sub2.domain.com

safari 4.0.4 на MacOsx спливає помилку сертифіката (імовірно, через інтерпретацію шаблону), тоді як safari 4 у Windows не робить.

також поведінка ie8 змішується в кращому випадку, деякі ie8 не відображають помилку сертифіката, а деякі не.

Що викликає таку дивну поведінку на Safari та IE?

ssl-certificate wildcard-subdomain

— porto alet
джерело

щойно зрозумів цю проблему, купивши новий дворічний сертифікат ...

— Рафа,

Відповіді:

192

SSL-сертифікат підстановки для * .example.net буде відповідати sub.example.net але не sub.sub.example.net .

З RFC 2818 :

Узгодження проводиться за допомогою правил відповідності, визначених RFC2459 . Якщо в сертифікаті присутній більше однієї ідентичності даного типу (наприклад, більше одного імені dNSName, відповідність у будь-якому з наборів вважається прийнятною.) Імена можуть містити символ підстановки, *який вважається таким, що відповідає будь-якому одному домену ім'я компонента або фрагмента компонента. Наприклад, *.a.comсірники, foo.a.comале ні bar.foo.a.com. f*.comсірники, foo.comале ні bar.com.

— Еліас Торрес Арройо
джерело

@Chris Я не думаю, що існують різні технічні фактори, які обмежують таке правило і змушують органи сертифікації розробляти сертифікат безпеки відповідно.

@sophie різні технічні фактори, як-то хтось зрозумів, що вигідніше продавати сертифікати нескінченності, ніж дозволяти 1 сертифікату покривати кожен окремий сценарій до нескінченності.

— Кріс Марісіч

Дивіться blackhat.com/presentations/bh-dc-09/Marlinspike/… слайд 91 щодо можливої загрози безпеці сертифікатів підстановки. Також дивіться media.blackhat.com/bh-ad-10/Hansen/… слайд 38.

— Карл

@ user1602478: які технічні фактори?

— iconoclast

чи можна мати *.*.example.comзахист субдоменів першого та другого рівнів?

— Шейн Роватт

Якщо вам потрібен сертифікат підстановки, який містить сайти * .domain.com, а також працюєте з sub1.sub2.domain.com або іншим доменом, як * .domain2.com, ви можете вирішити це за допомогою єдиного сертифікату wildcard із тим, що називається предметом альтернативне розширення назви (SAN) для кожного з інших піддоменів. Сертифікат SAN - це не лише для декількох конкретних імен хостів, але також може бути створений і для записів підстановки.

Наприклад, * .domain.com, sub1.sub2.domain.com та * .domain2.com мали б загальну назву * .domain.com, тоді ви додасте альтернативну назву теми * .domain2.com та * .sub2.domain.com. Це може залежати від Сертифікаційного органу щодо того, як вони стягуватимуть з вас плату за сертифікат (чи ні), але є деякі, де є ця пропозиція. Крім того, підтримка SAN досить поширена у просторі веб-браузерів. Найкращий реальний приклад цього використання - це сервер SSL Google. Відкрийте google і перегляньте його сертифікат SSL, ви побачите, що він працює для * .google.com, * .youtube.com, * .gmail.com та ще багато, де вони вказані як предметні альтернативні імена.

— RobLL
джерело

Які приклади ЦО, які видавали б такі сертифікати?

— Арто Бендікен

То чи можна було б отримати сертифікат на *.DOMAIN.COMте, що має SAN для *.*.DOMAIN.COM(і, можливо, *.*.*.DOMAIN.COM) для покриття цих піддоменів та під-субдоменів?

— Simon Simon East

@SimonEast не можливий.

— Нік

Це має бути прийнятою відповіддю. @Nick, перейдіть на sslshopper.com/ssl-checker.html#hostname=google.com та перегляньте розділ SAN

— Nehal J Wani

@NehalJWani, що мені шукати?

— Нік

Підстановочний знак застосовується лише до першої частини (зліва) вашого домену. Тож вам знадобиться сертифікат для * .sub2.domain.com

Якщо ви мали на увазі, що у вас є sub1.domain.com та sub2.domain.com, це має спрацювати.

— JAG
джерело