Загальна назва wildcard SSL - чи можна це назвати чим-небудь?


34

Мені було просто цікаво, чи обов'язково для сертифікату SSL для wildcard потрібно мати загальне ім’я, яке містить доменне ім’я сайтів, до яких потрібно застосувати сертифікат SSL.

Наприклад, для наступного:

Доменне ім'я: testdomain.com

Субсидії:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Чи обов’язково мені потрібен мій сертифікат підстановки, щоб мати загальну назву *.testdomain.com?


serverfault.com може бути кращим місцем для цього питання.

Відповіді:


38

Так, ваше загальне ім’я має бути * .yourdomain.com для сертифікату підстановки.

В основному, загальне ім'я - це те, що визначає, для якого домену підходить ваш сертифікат, тому він повинен вказати фактичний домен.

Пояснення: воно не повинно "містити" доменне ім'я сайтів, воно повинно бути доменом сайтів. Я здогадуюсь, що у вашому питанні немає різниці, я просто хотів уточнити, на випадок помилкового уявлення про те, яким повинен бути домен або для чого буде використовуватись сертифікат.


4

Насправді вам слід використовувати dnsNameзаписи в subjectAltNameрозділі сертифіката для вказівки FQDN, а не частини CN subject. Використання subjectдля цієї мети було припинено з моменту публікації RFC 2818 у 2000 році. Цитування розділу 3.1 :

Якщо є розширення typeAltName типу dNSName, ОБОВ'ЯЗКОВО використовуватись як ідентичність. В іншому випадку ОБОВ'ЯЗКОВО використовуватись (найбільш специфічне) поле загального імені в полі Тема сертифіката. Хоча використання загального імені є існуючою практикою, воно застаріле, і органам із сертифікації рекомендується замість цього використовувати dNSName.

Єдиний випадок, коли вміст subjectрелевантних у контексті перевірки сертифікатів сервера - це якщо він не dnsNameвключений до цього subjectAltName, випадок, який був застарілий протягом останніх 17 років на момент написання.

Використання сертифікатів підстановки невикористовується, як показано в розділі 7.2 RFC 6125 :

У цьому документі зазначено, що символ символу «*» НЕ повинен бути включений до представлених ідентифікаторів, але МОЖЕ бути перевірений клієнтами додатків (головним чином задля зворотної сумісності з розгорнутою інфраструктурою).

Використання одного і того ж приватного ключа для декількох служб зазвичай вважається поганою практикою. Якщо одна з послуг буде порушена, зв’язок з іншими службами загрожує небезпекою, і вам доведеться замінити ключ (і сертифікат) для всіх послуг.

Я пропоную RFC 6125 як хороше джерело інформації з цього питання.


"І так це сертифікати підстановки": чи можете ви детальніше розглянути? dnsNameможе містити домен підстановки. Також, що повинно бути subjectв цьому випадку?
WoJ

Ознайомтеся з розділами 1.5 та 7.2 RFC 6125 . Поки він subjectAltNameмістить щонайменше одне dnsName, вміст значень subjectне має значення в контексті перевірки сертифікатів.
Ерван Легранд

@WoJ Я відредагував свою відповідь. Я сподіваюся, що зараз усе зрозуміліше.
Ерван Легранд

3

Так, Wildcard SSL сертифікат - найкраще рішення відповідно до ваших вимог. Завдяки сертифікату Wildcard ви зможете захистити інформацію свого відвідувача. Не важливо, на яку сторінку вашого веб-сайту подано. Сертифікат Wildcard забезпечує необмежену кількість субдоменів, які мають одне і те ж ім’я домену.

Встановлення одного і того ж сертифікату підстановки для всіх субдоменів та серверів передає вбудований ризик: якщо один сервер або субдомен порушений, усі субдомени можуть бути однаково порушені. Переконайтеся, що ваш веб-сайт захищений різними рівнями захисту від будь-якого зовнішнього та внутрішнього тиску.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.