Determinare se il certificato SSL supporta i sottodomini jolly?

8

Spero che questo sia lo stack giusto per chiedere. In caso contrario, per favore indirizzami a quello corretto.

Sto lavorando con un client in questo momento e devo sapere se il loro certificato SSL supporta o meno i domini jolly. Gli ingegneri dalla loro parte non sono a conoscenza della risposta e temo che impiegheranno troppo tempo a scoprirlo.

C'è un modo per saperlo o meno in base al certificato visualizzabile nel browser?

ssl-certificate

— Geuis
fonte

6

il certificato ssl è legato a un nome di dominio, quindi è sufficiente ispezionare il certificato e se il dominio elencato è * .domain.com, allora è un carattere jolly - se il dominio è domain.com, è specifico per quel dominio.

— l0ft13
fonte

Grazie. Se controllo il certificato sulla loro homepage, è nel formato * .dominio.com. Se controllo la loro pagina di accesso, il certificato appare come login.domain.com. Inoltre, da un'altra pagina https ui.domain.com , il nome comune nel certificato è elencato come ui.domain.com. Significa quindi che tutti i sottodomini sono coperti in * .domain.com o hanno certificati individuali per ogni sezione del loro sito?

— Geuis,

Sembra che abbiano un certificato jolly + alcuni certificati regolari

4

Questo può essere fatto controllando il nome comune nell'oggetto SSL. È possibile utilizzare il comando bash opensslsui client * NIX.

Ad esempio, google.com e www.google.com utilizzano due diversi SSL. Il primo è un carattere jolly, il secondo è specifico del dominio.

$ echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
*.google.com
$ echo | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
www.google.com

— Steve Robbins
fonte