Чи повинен сертифікат SSL підкреслення захищати як кореневий домен, так і субдомени?


81

Я задаю це запитання, оскільки Comodo мені кажуть, що сертифікат підстановки для * .example.com також захищатиме приклад кореневого домену example.com. Таким чином, за допомогою одного сертифіката захищені і my.example.com, і example.com без попередження браузера.

Однак це не стосується сертифікату, який я надав. Мої субдомени захищені добре і не дають помилок, але кореневий домен видає помилку в браузері, кажучи, що ідентифікацію неможливо перевірити.

Коли я порівнюю цей сертифікат з іншими аналогічними сценаріями, я бачу, що в сценаріях, які працюють без помилок, альтернативне ім’я теми (SAN) перераховує як * .example.com, так і example.com, тоді як останній сертифікат від Comodo перераховує лише *. example.com як загальна назва, а НЕ example.com як альтернативна назва теми.

Чи може хто-небудь підтвердити / уточнити, що кореневий домен повинен бути вказаний у реквізитах SAN, якщо він також має бути надійно захищений?

Коли я читаю це: http://www.digicert.com/subject-alternative-name.htm Здається, що SAN повинен перераховувати обидва, щоб працювати так, як мені потрібно. Який у вас досвід?

Дуже дякую.

Відповіді:


72

Існує певна невідповідність між реалізаціями SSL щодо того, як вони відповідають шаблонам, проте для роботи з більшістю клієнтів вам знадобиться корінь як альтернативне ім'я.

Для *.example.comцерта,

  • a.example.com повинні пройти
  • www.example.com повинні пройти
  • example.com не повинен пройти
  • a.b.example.com може пройти залежно від реалізації (але, мабуть, ні).

По суті, стандарти говорять про те, що *має відповідати 1 або більше неточкових символів, але деякі реалізації дозволяють використовувати крапку.

Канонічна відповідь повинна бути в RFC 2818 (HTTP Over TLS) :

Узгодження проводиться за допомогою правил узгодження, визначених [RFC2459]. Якщо в сертифікаті присутній більше однієї ідентичності даного типу (наприклад, більше одного імені dNSName, відповідність у будь-якому з наборів вважається прийнятною.) Імена можуть містити символ підстановки *, який вважається таким, що відповідає будь-якому одному компонент або фрагмент доменного імені. Наприклад, *.a.comвідповідає foo.a.com, але не bar.foo.a.com. f*.comвідповідає foo.com, але не bar.com.

RFC 2459 говорить:

  • Символ підстановки "*" МОЖЕ бути використаний як компонент найменшого лівого імені в сертифікаті. Наприклад, *.example.comзбігається з a.example.com, foo.example.com тощо, але не відповідає example.com.

Якщо вам потрібен сертифікат для роботи, наприклад ,.com, www.example.com та foo.example.com, вам потрібен сертифікат з темою NameAltNames, щоб у вас були "example.com" та "* .example.com" (або приклад .com та всі інші імена, які вам можуть знадобитися).


13

Ви маєте рацію, кореневий домен повинен бути альтернативним іменем, щоб перевірити його.


6

Кожен постачальник SSL, який я коли-небудь використовував, автоматично додаватиме кореневий домен як альтернативне ім’я предмету до SSL-сертифікату, щоб DOMAIN.COM автоматично працював для сертифікату * .DOMAIN.COM.


8
Це не стосується менеджера сертифікатів AWS станом на 2017-09-20.
pho3nixf1re

Немає кореневого домену "" для сертифіката SAN, який може захищати кілька кореневих доменів.
Єз

-3

Сертифікати підстановки ідеально генеруються для * .example.com Для того, щоб захистити ваші субдомени та домени цим сертифікатом, потрібно лише встановити той самий сертифікат на сервери, що вказують на ці домени.

Для колишнього - у вас є сертифікат підстановки для * .example.com one.example.com - сервер 1 example.com - сервер 2

вам потрібно встановити цей сертифікат на сервер 1 та сервер 2.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.