SSCD-сертифікат Wildcard для субдомену другого рівня


93

Мені хотілося б знати, чи підтримують якісь сертифікати подвійну маску *.*.example.com? Я щойно телефонував у свого поточного постачальника послуг SSL (register.com), і дівчина там сказала, що вони нічого подібного не пропонують, і вона так і не думала, що це можливо.

Хтось може мені сказати, чи це можливо, і чи підтримують браузери?


10
FYI для майбутніх відвідувачів, жоден браузер не підтримує подвійний сертифікат підстановки ala *.*.example.comна 2015 рік. Не маю поняття, чому.
Ман

@Mahn Тоді ви повинні написати *.a.a.com, *.b.a.com, *.c.a.com, ... вручну?
Вільям

1
@LiamWilliam, мабуть, я досі не знайшов інших комбінацій, які браузери подобаються. Це біль.
Ман

1
@William так, але, з іншого боку, не використовуйте .для відокремлення речей у вашому доменному імені, які належать разом - домени викликають домен. Навіщо вам це потрібно phpmyadmin.serverX.domain.com, коли phpmyadmin-serverX.domain.comсемантично точніше і простіше в роботі в термінах DNS і TLS.
Даніель В.

Відповіді:


52

RFC2818 заявляє:

Якщо в сертифікаті присутній більше однієї ідентичності даного типу (наприклад, більше одного імені dNSName, відповідність у будь-якому з наборів вважається прийнятною.) Імена можуть містити символ підстановки *, який вважається таким, що відповідає будь-якому одному компонент або фрагмент доменного імені. Наприклад, * .a.com відповідає foo.a.com, але не bar.foo.a.com. f * .com відповідає foo.com, але не bar.com.

Internet Explorer поводиться так, як це було визначено RFC, де кожному рівню потрібен власний сертифікований сертифікат. Firefox задоволений одним * .domain.com, де * відповідає будь-якому перед доменом.com, включаючи other.levels.domain.com, але також буде працювати з типами *. *. Domain.com також.

Отже, щоб відповісти на ваше запитання: це можливо і підтримується браузерами.


5
Дякую! Тестування на FF 3.5.7 сьогодні вранці показало, що він тепер сумісний з RFC так само, як IE. Він відхилив мій файл .example.com для foo.bar.example.com. Тож для уточнення всього, що мені потрібно - це ще одна символа wildcard, яка має *. .example.com як загальна назва?

7
Щойно я тестував FF 3.5 та IE 8, і жоден не прийняв би сертифікат . .example.com. Я думаю, що єдиним рішенням є використання декількох сертифікатів підстановки.
Роберт

9
Хто написав цей стандарт? Це марно. Також трата грошей, якщо ви запитаєте мене. Що це захищає?
Брент Пабст

6
Якщо подвійні подвійні коди створюють проблеми, чи працюють конкретні субдомени навколо марок? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup

2
@tudor FWIW, я щойно перевірив, і Firefox показує мені, що ваше з'єднання не є захищеною сторінкою під час доступу sub1.sub2.mydomain.comз *.mydomain.comсертифікатом, незважаючи на те, що вважає, що cert дійсний sub2.mydomain.com. Тож, як найкраще можу сказати, ця відповідь справді неправильна, принаймні сьогодні. Зважаючи на те, що був також коментар, розміщений від когось, який говорив, що вони не можуть відтворити поведінку в день опублікування відповіді , я скептично ставлюсь до того, чи це колись було правильним.
Марк Амері

20

Тільки для підтвердження FF та IE 8 НЕ приймають сертифікати у формі, *.*.example.comхоча технічно їх створити неможливо.


2
Тоді ви повинні написати *.a.a.com, *.b.a.com, *.c.a.comвручну?
Вільям

2
@William Я так думаю. Це справді прикро.
Франклін Ю

17

Коли сертифікат Wildcard SSL видається для * .domain.com, ви можете захистити необмежену кількість субдоменів над основним доменом.

Наприклад:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

Якщо сертифікат Wildcard SSL видається на * .sub1.domain.com, у цьому випадку ви можете захистити всі субдомени другого рівня, які перелічені під sub1.domain.com

Наприклад:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

Якщо ви хочете захистити обмежену кількість субдоменів та доменів другого рівня, ви можете вибрати багатодоменний SSL, який може захистити до 100 імен домену одним сертифікатом.

Наприклад:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Ви повинні знати свої фактичні вимоги, щоб вибрати сертифікат SSL.


1
Це добре розуміння, але не дає запитання. Ви згадали всі комбінації , але не один ОП просив ( . .Domain.com).
Даніель В.

8

Це може коштувати нового раунду тестів з поточними версіями браузера.

Мої особисті результати швидкої перевірки: Firefox 20.0.1, здається, все ще не підтримує це. Це показує:

Цей сертифікат дійсний лише для *. *. Mydomain.com

... при серфінгу на https://svn.project.mydomain.com .

Internet Explorer 9.0:

Сертифікат цього веб-сайту був зроблений на іншу адресу

Примітки:

  • Обидва твердження перекладені мною з німецької на англійську. Напевно, я не використовував ті самі фрази, як показали б версії англійського браузера.
  • Я використовував самопідписаний сертифікат. Що призвело до того, що браузери показали додаткове попередження. Я припускаю, що наведені вище цитати також відображатимуться з надійним емітентом сертифікатів. Перевірка цього вийшла за межі моєї "швидкої перевірки".

7

Я просто робив деякі дослідження з цього приводу, оскільки у мене є ті ж вимоги, щоб захистити піддомени, і я натрапив на рішення від DigiCert.

Ці сертифікати кажуть , що це буде підтримувати yourdomain.com, *.yourdomain.com, *.*.yourdomain.comі так далі.

Наразі це досить дорого, але сподіваємось, що інші провайдери почнуть пропонувати подібні сертифікати та знижувати ціни.


це правильний підхід. cert wildcard, що підтримує кілька імен (wildcard)
drAlberT

У нас є цей сертифікат від digicert. Він підтримує його, але не за замовчуванням. Ви повинні створити дублікат cert і вказати всі піддомени в cert. Це не автоматично.
L_7337

7

Усі відповіді тут застаріли або не повністю коректні, не враховуючи RFC 6125 від 2011 року.

Згідно з RFC 6125 , в самому лівому фрагменті допускається лише одна підстановка.

Дійсний:

*.sub.domain.tld
*.domain.tld

Недійсний:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Фрагмент, або його також називають "мітка", є закритим компонентом, наприклад: *.com(2 мітки) не збігаються label.label.com(3 мітки) - це вже визначено в RFC 2818.

До 2011 року в RFC 2818 налаштування було не зовсім зрозумілим:

Технічні умови для існуючих технологій застосування не є чіткими або несумісними щодо допустимого розташування символів підстановки.

Це змінилося з RFC 6125 з 2011 року (6.4.3):

Клієнт НЕ повинен намагатися зіставити представлений ідентифікатор, у якому символ підстановки містить мітку, відмінну від самої лівої лівої (наприклад, не відповідає рядку. *. Example.net).


2

хоча я не розглядаю ваше запитання, мені просто трапилось щось прочитати про нього хвилин тому:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

це пояснює, що ви не можете використовувати подвійну зірочку


Редагувати

Додайте частину цитати на випадок, якщо веб-сайт не працює або читати його занадто довго

Що неможливо - спробувати охопити як субдомени mail.xyz.com, так і photos.xyz.com одним Wildcard. Агентство сертифікації та сертифікатів може надати сертифікат SSL лише одним (*). Не вдалося створити запит на підписання сертифіката, який виглядав так . .xyz.com, щоб спробувати охопити більш ніж одну піддоменну групу другого рівня.

Причина чому

Причини, по яких неможливо мати сертифікат SSL "подвійної підстановки", полягає в тому, що заповнювач, зірочка, може містити лише одне поле в імені, поданому до CA. Зрештою, КА повинен перевірити всю інформацію, і занадто багато змінних у сертифікаті знизили б безпеку та впевненість, які надає сертифікат.

Крім того, і це важливо і для ІТ-менеджерів, і для власників веб-сайтів, внутрішня безпека не може бути порушена так легко. Майте на увазі, що будь-які проблеми із безпекою після наявності сертифіката SSL набагато частіше трапляються через порушення внутрішнього захисту, коли хтось із доступом до приватного ключа та сертифікату може створити веб-сайт піддомену, який фактично охоплюється SSL.


1
Треба зазначити, що вказівки щодо відповіді вимагають, щоб ви цитували основні частини статті у своєму органі відповідей. Оскільки це посилання може змінитися з часом або стаття може бути видалена. В іншому випадку це може не вважатися відповіддю.
sr9yar

0

Можна зробити щось на кшталт * .domain.com, а потім * .www.domain.com або * .mail.domain.com. Я ніколи не бачив *. *. Domain.com на виробничому сайті.

Ви можете отримати підстановку (* .domain.com), але вам також знадобиться * .www.domain.com як альтернативний запис імені предмета, щоб це працювало. Єдині компанії, які я знаю, пропонують це - ssl.com та digicert. Можуть бути й інші, але я не впевнений.


з letsencrypt ви можете також видавати символи символів. І вони дозволяють отримати декілька SAN. Таким чином, ви можете визначити набір SAN. Напр -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
фрагментарнареальність
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.