Certificato SSL jolly per sottodominio di secondo livello


93

Vorrei sapere se qualche certificato supporta un doppio carattere jolly come *.*.example.com? Sono appena stato al telefono con il mio attuale provider SSL (register.com) e la ragazza lì ha detto che non offrono nulla del genere e che non pensava fosse possibile comunque.

Qualcuno può dirmi se questo è possibile e se i browser lo supportano?


10
Cordiali saluti per i futuri visitatori, nessun browser supporta un doppio certificato jolly ala *.*.example.comdal 2015. Non ho idea del perché.
Mahn,

@Mahn Poi devi scrivere *.a.a.com, *.b.a.com, *.c.a.com, ... manualmente?
William,

1
@LiamWilliam apparentemente, non ho trovato altre combinazioni che i browser apprezzano finora. È un dolore
Mahn,

1
@William sì, ma d'altra parte, non usare le .cose separate nel tuo nome di dominio che appartengono insieme - i domini sono problemi di dominio. Perché dovresti aver bisogno phpmyadmin.serverX.domain.com, quando phpmyadmin-serverX.domain.comè semanticamente più preciso e più facile da gestire in termini DNS e TLS.
Daniel W.

Risposte:


52

RFC2818 afferma:

Se nel certificato è presente più di un'identità di un determinato tipo (ad esempio, più di un nome dNSName, una corrispondenza in uno dei set è considerata accettabile.) I nomi possono contenere il carattere jolly * che si considera corrisponda a un singolo componente del nome di dominio o frammento del componente. Ad esempio, * .a.com corrisponde a foo.a.com ma non a bar.foo.a.com. f * .com corrisponde a foo.com ma non a bar.com.

Internet Explorer si comporta nel modo indicato da RFC, in cui ogni livello necessita del proprio certificato con caratteri jolly. Firefox è soddisfatto di un singolo * .domain.com in cui * corrisponde a qualsiasi cosa di fronte a domain.com, incluso other.levels.domain.com, ma gestirà anche i tipi *. *. Domain.com.

Quindi, per rispondere alla tua domanda: è possibile e supportato dai browser.


5
Grazie! I test su FF 3.5.7 di questa mattina hanno dimostrato che ora è conforme a RFC allo stesso modo di IE. Ha rifiutato il mio certificato .example.com per foo.bar.example.com. Quindi, solo per chiarire tutto ciò di cui ho bisogno è un altro certificato jolly che ha *. .example.com come nome comune?

7
Ho appena testato in FF 3.5 e IE 8 e nessuno dei due avrebbe accettato un certificato per . .example.com. Penso che l'unica soluzione sia utilizzare più certificati jolly.
Robert,

9
Chi ha scritto questo standard? Questo è inutile. Anche uno spreco di denaro se me lo chiedi. Cosa protegge?
Brent Pabst,

6
Se i caratteri jolly doppi causano problemi, funzionano sottodomini specifici attorno ai caratteri jolly? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup

2
@tudor FWIW, ho appena testato e Firefox mi mostra una pagina La tua connessione non è sicura quando accedi sub1.sub2.mydomain.comcon un *.mydomain.comcertificato, nonostante consideri il certificato valido per sub2.mydomain.com. Quindi, come meglio posso dire, questa risposta è davvero sbagliata, almeno oggi. Considerando che c'era anche un commento pubblicato da qualcuno che diceva che non potevano riprodurre il comportamento nel giorno in cui la risposta era stata pubblicata , sono scettico sul fatto che sia mai stato corretto.
Mark Amery,

20

Solo per confermare FF e IE 8 NON accetterà i certificati nel modulo *.*.example.comsebbene sia tecnicamente possibile crearli.


2
Poi si deve scrivere *.a.a.com, *.b.a.com, *.c.a.commanualmente?
William,

2
@William penso di sì. Questo è davvero sfortunato.
Franklin Yu,

17

Quando viene rilasciato il certificato SSL Wildcard per * .domain.com, puoi proteggere il tuo numero illimitato di sottodomini sul dominio principale.

Per esempio:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .dominio.com

Se il certificato SSL Wildcard viene emesso su * .sub1.domain.com, in tal caso puoi proteggere tutti i sottodomini di secondo livello elencati in sub1.domain.com

Per esempio:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. Sub1.domain.com

Se si desidera proteggere un numero limitato di sottodomini e domini di secondo livello, è possibile scegliere SSL multidominio in grado di proteggere fino a 100 nomi di dominio con un singolo certificato.

Per esempio:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

È necessario conoscere i requisiti effettivi per scegliere un certificato SSL.


1
Questa è una buona comprensione ma non risponde alla domanda. Lei ha parlato di tutte le combinazioni ma non quello del PO chiesto ( . .Domain.com).
Daniel W.

8

Questo potrebbe valere una nuova serie di test con le attuali versioni del browser.

Il mio controllo personale personale risulta in: Firefox 20.0.1 sembra non supportare ancora questo. Mostra:

Questo certificato è valido solo per *. *. Mydomain.com

... durante la navigazione su https://svn.project.mydomain.com .

Internet Explorer 9.0:

Il certificato di questo sito Web è stato creato per un altro indirizzo

Appunti:

  • Entrambe le dichiarazioni tradotte dal tedesco all'inglese, da parte mia. Probabilmente non ho usato le stesse frasi che avrebbero mostrato le versioni del browser in inglese.
  • Ho usato un certificato autofirmato. Ciò ha fatto sì che i browser mostrassero un'ulteriore frase di avvertimento. Presumo che le citazioni sopra sarebbero anche mostrate con un emittente certificato fidato. La verifica non rientra nell'ambito del mio "controllo rapido".

7

Stavo solo facendo delle ricerche su questo perché ho gli stessi requisiti per proteggere anche i sottodomini e ho trovato una soluzione da DigiCert.

Questo certificati dice che sosterrà yourdomain.com, *.yourdomain.com, *.*.yourdomain.come così via.

Attualmente è piuttosto costoso, ma la speranza è che altri fornitori inizino a offrire certificati simili e riducano i prezzi.


questo è l'approccio giusto. un certificato jolly con più nomi (jolly) supportati
drAlberT

Abbiamo questo certificato da digicert. Lo supporta, ma non per impostazione predefinita. Devi creare un certificato duplicato e specificare tutti i sottodomini nel certificato. Non è automatico.
L_7337,

7

Tutte le risposte qui sono obsolete o non completamente corrette, non considerando l'RFC 6125 del 2011.

Secondo RFC 6125 , è consentito un solo carattere jolly nel frammento più a sinistra.

Valido:

*.sub.domain.tld
*.domain.tld

Non valido:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Un frammento, o anche chiamato "etichetta", è un componente chiuso, ad esempio: *.com(2 etichette) non corrisponde label.label.com(3 etichette) - questo è già stato definito in RFC 2818.

Prima del 2011 in RFC 2818 l'impostazione non era completamente chiara:

Le specifiche per le tecnologie applicative esistenti non sono chiare o coerenti sulla posizione consentita del carattere jolly.

Questo è cambiato con RFC 6125 dal 2011 (6.4.3):

Il client NON DOVREBBE tentare di abbinare un identificatore presentato in cui il carattere jolly comprende un'etichetta diversa dall'etichetta più a sinistra (ad esempio, non corrisponde alla barra. *. Example.net).


2

anche se non sto esaminando la tua domanda, mi è capitato di leggere qualcosa al riguardo pochi minuti fa:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

questo spiega che non puoi usare il doppio asterisco


modificare

Aggiungi parte del preventivo nel caso in cui il sito Web non funzioni o è troppo lungo per essere letto

Ciò che non è possibile è provare a coprire entrambi i sottodomini di mail.xyz.com e photos.xyz.com con un singolo carattere jolly. L'autorità di certificazione o l'autorità di certificazione può fornire un certificato SSL solo con un singolo (*). Non è stato possibile generare una richiesta di firma del certificato simile . .xyz.com per provare a coprire più di un gruppo di sottodomini di secondo livello.

La ragione per cui

Il motivo per cui non è possibile avere un certificato SSL "doppio carattere jolly" è che il segnaposto, l'asterisco, può sostituire solo un campo nel nome inviato all'autorità di certificazione. Dopotutto, la CA deve verificare tutte le informazioni e troppe variabili nel certificato ridurrebbero la sicurezza e l'affidabilità fornite dal certificato.

Inoltre, e questo è importante anche per i responsabili IT e i proprietari di siti Web, la sicurezza interna non può essere compromessa con la stessa facilità. Tieni presente che qualsiasi tipo di problema di sicurezza una volta che un certificato SSL è in atto è molto più probabile che si verifichi da una violazione della sicurezza interna in cui qualcuno con accesso alla chiave privata e al certificato è in grado di impostare un sito Web di sottodominio che è effettivamente coperto da SSL.


1
Devo notare che le linee guida per la risposta richiedono di citare parti essenziali di un articolo nel tuo corpo di risposta. Perché questo collegamento potrebbe cambiare nel tempo o l'articolo potrebbe essere eliminato. Altrimenti non può essere considerata una risposta.
sr9yar,

0

Quello che puoi fare è qualcosa come * .domain.com e poi * .www.domain.com o * .mail.domain.com. Non ho mai visto *. *. Domain.com su un sito di produzione.

Puoi ottenere un carattere jolly (* .domain.com) ma avrai anche bisogno di * .www.domain.com come voce alternativa del nome soggetto per farlo funzionare. Le uniche aziende che conosco offrono questo sono ssl.com e digicert. Potrebbero essercene altri ma non ne sono sicuro.


con letsencrypt puoi anche emettere certificati jolly. E consentono più SAN. Quindi puoi definire un set di SAN. Es -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.