carattere jolly ssl nel sottodominio [chiuso]

146

abbiamo un certificato SSL jolly per * .domain.com e abbiamo un sito Web con sub1.sub2.domain.com

Safari 4.0.4 su MacOsx fa apparire un errore di certificato (presumibilmente a causa dell'interpretazione con caratteri jolly), mentre Safari 4 su Windows no.

anche il comportamento di ie8 è mescolato al meglio, alcuni di essi non visualizzano l'errore del certificato e altri no.

Cosa causa questo strano comportamento su Safari e IE?

ssl-certificate wildcard-subdomain

— porto alet
fonte

appena realizzato questo problema dopo aver acquistato un nuovo certificato di 2 anni ...

— Rafa,

Risposte:

192

Un certificato SSL jolly per * .example.net corrisponderà a sub.example.net ma non a sub.sub.example.net .

Da RFC 2818 :

La corrispondenza viene eseguita utilizzando le regole di corrispondenza specificate da RFC2459 . Se nel certificato è presente più di un'identità di un determinato tipo (ad es. Più di un nome dNSName, una corrispondenza in uno dei set è considerata accettabile.) I nomi possono contenere il carattere jolly *che viene considerato corrispondente a un singolo dominio nome componente o frammento componente. Ad esempio, *.a.compartite foo.a.comma non bar.foo.a.com. f*.compartite foo.comma non bar.com.

— Elias Torres Arroyo
fonte

@Chris Non credo, ci sono vari fattori tecnici che limitano tale regola e hanno costretto le autorità di certificazione a sviluppare di conseguenza il certificato di sicurezza.

@sophie vari fattori tecnici, come qualcuno ha capito che è più redditizio vendere certificati infinito che consentire 1 certificato per coprire ogni singolo scenario all'infinito.

— Chris Marisic,

Vedi blackhat.com/presentations/bh-dc-09/Marlinspike/… slide 91 per una possibile minaccia alla sicurezza con certificati jolly. Vedi anche media.blackhat.com/bh-ad-10/Hansen/… slide 38.

— Carl

@ user1602478: quali sono questi fattori tecnici?

— iconoclasta,

puoi dover *.*.example.comproteggere sottodomini di primo e secondo livello?

— Shane Rowatt,

Se hai bisogno di un certificato jolly che contenga siti * .domain.com e lavori anche con sub1.sub2.domain.com o un altro dominio come * .domain2.com, puoi risolverlo con un singolo certificato jolly con quello che viene chiamato soggetto estensione di nome alternativo (SAN) per ciascuno degli altri sottodomini. Un certificato SAN non è solo per più nomi host specifici, ma può essere creato anche per le voci jolly.

Ad esempio, * .domain.com, sub1.sub2.domain.com e * .domain2.com avrebbero un nome comune di * .domain.com, quindi si allegherebbe un nome alternativo soggetto di * .domain2.com e * .sub2.domain.com. Potrebbe dipendere dall'autorità di certificazione su come ti addebiterebbero (o meno) per il certificato, ma ce ne sono alcuni là fuori dove questa offerta è disponibile. Inoltre, SAN è il supporto è abbastanza diffuso nello spazio del browser web. Il miglior esempio reale di questo utilizzo, è il certificato SSL di Google. Apri google e visualizza il suo certificato SSL, vedrai che funziona per * .google.com, * .youtube.com, * .gmail.com e molto altro ancora dove sono elencati come nomi alternativi soggetto.

— RobLL
fonte

Quali sono esempi di CA che rilasciano tali certificati?

— Arto Bendiken,

Quindi sarebbe possibile ottenere un certificato per *.DOMAIN.COMquello che ha una SAN per *.*.DOMAIN.COM(e possibilmente *.*.*.DOMAIN.COM) coprire questi sottodomini e sottodomini secondari?

— Simon East,

@SimonEast non è possibile.

— Nick,

Questa dovrebbe essere la risposta accettata. @Nick, vai su sslshopper.com/ssl-checker.html#hostname=google.com e dai un'occhiata alla sezione SAN

— Nehal J Wani

@NehalJWani cosa dovrei cercare?

— Nick

Il carattere jolly viene applicato solo alla prima parte (da sinistra) del dominio. Quindi avrai bisogno di un certificato per * .sub2.domain.com

Se intendevi avere sub1.domain.com e sub2.domain.com, dovrebbe funzionare.

— JAG
fonte