Чому веб-сайт повинен містити як субдомени, так і макіяж у поле SAN?

0

Якщо ви завітаєте на веб-сайт розробників XDA і побачите інформацію про сертифікати, вони містять список * .XDA-developers.com та кожен піддомен окремо в полі SAN. Якщо вони використовували підстановку, чому вони повинні перераховувати кожен піддомен окремо?

введіть тут опис зображення

ssl-certificate 
кілер
джерело
Швидше за все, вони мали окремі записи, потім повернулися і додали підстановку та не видалили конкретні окремі записи (або через oops, або, можливо, був монітор Nagios / etc, який шукав api.xda-developers.com у SAN, і вони не хотіли його оновлювати)
bartonjs

Відповіді:

0

Тип сертифіката, який ви бачите, називається "Багатодоменний SSL сертифікат".

Ці сертифікати SSL захищають різні домени одним сертифікатом, використовуючи розширення SAN. З цієї причини ці сертифікати часто називають сертифікатами SAN.

Імена SAN, як правило, не повинні належати одному домену. Іншими словами, сертифікат цілком чудово охоплює список імен, таких як:

example.com
www.example.com
foo.bar.hello.com
another.domain.com

Отже, це не доменні домени, які перераховані, а власні домени. Їх загальним знаменником є ​​те, що всі вони захищені цим одним сертифікатом SSL.

Мене не здивувало б, якби всі ці домени були розміщені на одному веб-сервері, який використовує цей самий сертифікат для всіх своїх доменів, що обслуговуються.

Список літератури:

harrymc
джерело
Але вони мають однаковий базовий домен. Чому в поле SAN включати mail.example.com, img.example.com та * .example.com? * .Example.com вже охоплює субдомени пошти та img. На зображенні, розміщеному у запитанні (спасибі), також показані всі субдомени та підстановка. Хіба це не зайве?
кілер
Щоб хтось був я. Це правда, що це трохи марно, і це можна зробити *.example.com, але це внутрішнє рішення адміністратора сайту. Можливо, якийсь незрозумілий браузер, який вони потребують для підтримки, не робить макіяжних символів, або, можливо, адміністратор просто завищив це "на добру міру". У будь-якому випадку це може бути не елегантно, але це працює для них. Їхньому веб-сайту потрібно працювати на багатьох пристроях та багатьох браузерах, і він працює добре, тому ми не можемо винуватити їх роботу без повного знання обставин.
harrymc
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.