Certificato SSL jolly per sottodominio di secondo livello

93

Vorrei sapere se qualche certificato supporta un doppio carattere jolly come *.*.example.com? Sono appena stato al telefono con il mio attuale provider SSL (register.com) e la ragazza lì ha detto che non offrono nulla del genere e che non pensava fosse possibile comunque.

Qualcuno può dirmi se questo è possibile e se i browser lo supportano?

ssl  subdomain  certificate  wildcard 
Aleksander Blomskøld
fonte
10
Cordiali saluti per i futuri visitatori, nessun browser supporta un doppio certificato jolly ala *.*.example.comdal 2015. Non ho idea del perché.
Mahn,
@Mahn Poi devi scrivere *.a.a.com, *.b.a.com, *.c.a.com, ... manualmente?
William,
1
@LiamWilliam apparentemente, non ho trovato altre combinazioni che i browser apprezzano finora. È un dolore
Mahn,
1
@William sì, ma d'altra parte, non usare le .cose separate nel tuo nome di dominio che appartengono insieme - i domini sono problemi di dominio. Perché dovresti aver bisogno phpmyadmin.serverX.domain.com, quando phpmyadmin-serverX.domain.comè semanticamente più preciso e più facile da gestire in termini DNS e TLS.
Daniel W.

Risposte:

52

RFC2818 afferma:

Se nel certificato è presente più di un'identità di un determinato tipo (ad esempio, più di un nome dNSName, una corrispondenza in uno dei set è considerata accettabile.) I nomi possono contenere il carattere jolly * che si considera corrisponda a un singolo componente del nome di dominio o frammento del componente. Ad esempio, * .a.com corrisponde a foo.a.com ma non a bar.foo.a.com. f * .com corrisponde a foo.com ma non a bar.com.

Internet Explorer si comporta nel modo indicato da RFC, in cui ogni livello necessita del proprio certificato con caratteri jolly. Firefox è soddisfatto di un singolo * .domain.com in cui * corrisponde a qualsiasi cosa di fronte a domain.com, incluso other.levels.domain.com, ma gestirà anche i tipi *. *. Domain.com.

Quindi, per rispondere alla tua domanda: è possibile e supportato dai browser.

alex
fonte
5
Grazie! I test su FF 3.5.7 di questa mattina hanno dimostrato che ora è conforme a RFC allo stesso modo di IE. Ha rifiutato il mio certificato .example.com per foo.bar.example.com. Quindi, solo per chiarire tutto ciò di cui ho bisogno è un altro certificato jolly che ha *. .example.com come nome comune?
7
Ho appena testato in FF 3.5 e IE 8 e nessuno dei due avrebbe accettato un certificato per . .example.com. Penso che l'unica soluzione sia utilizzare più certificati jolly.
Robert,
9
Chi ha scritto questo standard? Questo è inutile. Anche uno spreco di denaro se me lo chiedi. Cosa protegge?
Brent Pabst,
6
Se i caratteri jolly doppi causano problemi, funzionano sottodomini specifici attorno ai caratteri jolly? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, ho appena testato e Firefox mi mostra una pagina La tua connessione non è sicura quando accedi sub1.sub2.mydomain.comcon un *.mydomain.comcertificato, nonostante consideri il certificato valido per sub2.mydomain.com. Quindi, come meglio posso dire, questa risposta è davvero sbagliata, almeno oggi. Considerando che c'era anche un commento pubblicato da qualcuno che diceva che non potevano riprodurre il comportamento nel giorno in cui la risposta era stata pubblicata , sono scettico sul fatto che sia mai stato corretto.
Mark Amery,
20

Solo per confermare FF e IE 8 NON accetterà i certificati nel modulo *.*.example.comsebbene sia tecnicamente possibile crearli.

2
Poi si deve scrivere *.a.a.com, *.b.a.com, *.c.a.commanualmente?
William,
2
@William penso di sì. Questo è davvero sfortunato.
Franklin Yu,
17

Quando viene rilasciato il certificato SSL Wildcard per * .domain.com, puoi proteggere il tuo numero illimitato di sottodomini sul dominio principale.

Per esempio:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .dominio.com

Se il certificato SSL Wildcard viene emesso su * .sub1.domain.com, in tal caso puoi proteggere tutti i sottodomini di secondo livello elencati in sub1.domain.com

Per esempio:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. Sub1.domain.com

Se si desidera proteggere un numero limitato di sottodomini e domini di secondo livello, è possibile scegliere SSL multidominio in grado di proteggere fino a 100 nomi di dominio con un singolo certificato.

Per esempio:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

È necessario conoscere i requisiti effettivi per scegliere un certificato SSL.

Jason Parms
fonte
1
Questa è una buona comprensione ma non risponde alla domanda. Lei ha parlato di tutte le combinazioni ma non quello del PO chiesto ( . .Domain.com).
Daniel W.
8

Questo potrebbe valere una nuova serie di test con le attuali versioni del browser.

Il mio controllo personale personale risulta in: Firefox 20.0.1 sembra non supportare ancora questo. Mostra:

Questo certificato è valido solo per *. *. Mydomain.com

... durante la navigazione su https://svn.project.mydomain.com .

Internet Explorer 9.0:

Il certificato di questo sito Web è stato creato per un altro indirizzo

Appunti:

  • Entrambe le dichiarazioni tradotte dal tedesco all'inglese, da parte mia. Probabilmente non ho usato le stesse frasi che avrebbero mostrato le versioni del browser in inglese.
  • Ho usato un certificato autofirmato. Ciò ha fatto sì che i browser mostrassero un'ulteriore frase di avvertimento. Presumo che le citazioni sopra sarebbero anche mostrate con un emittente certificato fidato. La verifica non rientra nell'ambito del mio "controllo rapido".
spina di Klaus
fonte
7

Stavo solo facendo delle ricerche su questo perché ho gli stessi requisiti per proteggere anche i sottodomini e ho trovato una soluzione da DigiCert.

Questo certificati dice che sosterrà yourdomain.com, *.yourdomain.com, *.*.yourdomain.come così via.

Attualmente è piuttosto costoso, ma la speranza è che altri fornitori inizino a offrire certificati simili e riducano i prezzi.

F21
fonte
questo è l'approccio giusto. un certificato jolly con più nomi (jolly) supportati
drAlberT
Abbiamo questo certificato da digicert. Lo supporta, ma non per impostazione predefinita. Devi creare un certificato duplicato e specificare tutti i sottodomini nel certificato. Non è automatico.
L_7337,
7

Tutte le risposte qui sono obsolete o non completamente corrette, non considerando l'RFC 6125 del 2011.

Secondo RFC 6125 , è consentito un solo carattere jolly nel frammento più a sinistra.

Valido:

*.sub.domain.tld
*.domain.tld

Non valido:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Un frammento, o anche chiamato "etichetta", è un componente chiuso, ad esempio: *.com(2 etichette) non corrisponde label.label.com(3 etichette) - questo è già stato definito in RFC 2818.

Prima del 2011 in RFC 2818 l'impostazione non era completamente chiara:

Le specifiche per le tecnologie applicative esistenti non sono chiare o coerenti sulla posizione consentita del carattere jolly.

Questo è cambiato con RFC 6125 dal 2011 (6.4.3):

Il client NON DOVREBBE tentare di abbinare un identificatore presentato in cui il carattere jolly comprende un'etichetta diversa dall'etichetta più a sinistra (ad esempio, non corrisponde alla barra. *. Example.net).

Daniel W.
fonte
2

anche se non sto esaminando la tua domanda, mi è capitato di leggere qualcosa al riguardo pochi minuti fa:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

questo spiega che non puoi usare il doppio asterisco

modificare

Aggiungi parte del preventivo nel caso in cui il sito Web non funzioni o è troppo lungo per essere letto

Ciò che non è possibile è provare a coprire entrambi i sottodomini di mail.xyz.com e photos.xyz.com con un singolo carattere jolly. L'autorità di certificazione o l'autorità di certificazione può fornire un certificato SSL solo con un singolo (*). Non è stato possibile generare una richiesta di firma del certificato simile . .xyz.com per provare a coprire più di un gruppo di sottodomini di secondo livello.

La ragione per cui

Il motivo per cui non è possibile avere un certificato SSL "doppio carattere jolly" è che il segnaposto, l'asterisco, può sostituire solo un campo nel nome inviato all'autorità di certificazione. Dopotutto, la CA deve verificare tutte le informazioni e troppe variabili nel certificato ridurrebbero la sicurezza e l'affidabilità fornite dal certificato.

Inoltre, e questo è importante anche per i responsabili IT e i proprietari di siti Web, la sicurezza interna non può essere compromessa con la stessa facilità. Tieni presente che qualsiasi tipo di problema di sicurezza una volta che un certificato SSL è in atto è molto più probabile che si verifichi da una violazione della sicurezza interna in cui qualcuno con accesso alla chiave privata e al certificato è in grado di impostare un sito Web di sottodominio che è effettivamente coperto da SSL.

deadManN
fonte
1
Devo notare che le linee guida per la risposta richiedono di citare parti essenziali di un articolo nel tuo corpo di risposta. Perché questo collegamento potrebbe cambiare nel tempo o l'articolo potrebbe essere eliminato. Altrimenti non può essere considerata una risposta.
sr9yar,
0

Quello che puoi fare è qualcosa come * .domain.com e poi * .www.domain.com o * .mail.domain.com. Non ho mai visto *. *. Domain.com su un sito di produzione.

Puoi ottenere un carattere jolly (* .domain.com) ma avrai anche bisogno di * .www.domain.com come voce alternativa del nome soggetto per farlo funzionare. Le uniche aziende che conosco offrono questo sono ssl.com e digicert. Potrebbero essercene altri ma non ne sono sicuro.

Colt Blake
fonte
con letsencrypt puoi anche emettere certificati jolly. E consentono più SAN. Quindi puoi definire un set di SAN. Es -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.