Подстановочный SSL-сертификат для субдомена второго уровня

Question

Подстановочный SSL-сертификат для субдомена второго уровня

Я хотел бы знать, если какие-либо сертификаты поддерживают двойной подстановочный знак, как *.*.example.com? Я только что говорил по телефону с моим текущим поставщиком SSL (register.com), и девушка там сказала, что они не предлагают ничего подобного, и что она не думала, что это все равно возможно.

Может кто-нибудь сказать мне, если это возможно, и если браузеры поддерживают это?

147

ssl subdomain certificate wildcard

Источник

19 янв '10 в 14:34

8 ответов

Другие вопросы по тегам ssl subdomain certificate wildcard

Alex 19 янв '10 в 15:36 2010-01-19 15:36 · Answer 1 · 2010-01-19 15:36

RFC2818 заявляет:

Если в сертификате присутствует более одного идентификатора данного типа (например, более одного имени dNSName, совпадение в любом из набора считается приемлемым). Имена могут содержать подстановочный знак *, который считается соответствующим любому компонент доменного имени или фрагмент компонента. Например, *.a.com соответствует foo.a.com, но не bar.foo.a.com. f*.com соответствует foo.com, но не bar.com.

Internet Explorer ведет себя так, как описано в RFC, где каждому уровню требуется собственный сертификат с подстановочными знаками. Firefox доволен единственным *.domain.com, где * соответствует чему-либо перед domain.com, включая other.levels.domain.com, но также будет обрабатывать и типы *.*. Domain.com.

Итак, чтобы ответить на ваш вопрос: это возможно и поддерживается браузерами.

Daniel W. 20 дек '18 в 13:59 2018-12-20 13:59 · Answer 2 · 2018-12-20 13:59

Все ответы здесь устарели или не полностью верны, не считая RFC 6125 от 2011 года.

Согласно RFC 6125, в одном левом фрагменте допускается только один подстановочный знак.

Действительно:

*.sub.domain.tld
*.domain.tld

Недействительным:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Фрагмент, или также называемый "метка", является закрытым компонентом, например: *.com (2 метки) не совпадает label.label.com (3 метки) - это уже было определено в RFC 2818.

До 2011 года в RFC 2818 настройка не была полностью ясна:

Спецификации для существующих технологий приложений не ясны или непоследовательны в отношении допустимого расположения подстановочного знака.

Это изменилось с RFC 6125 от 2011 года (6.4.3):

Клиенту НЕ СЛЕДУЕТ пытаться сопоставить представленный идентификатор, в котором подстановочный символ содержит метку, отличную от самой левой метки (например, не соответствует строке.*. Example.net).

Jason Parms 08 янв '15 в 12:19 2015-01-08 12:19 · Answer 3 · 2015-01-08 12:19

Когда SSL-сертификат Wildcard выдан для *.domain.com, вы можете защитить неограниченное количество поддоменов над основным доменом.

Например:

sub1.domain.com
sub2.domain.com
sub3.domain.com
к югу *.domain.com

Если SSL-сертификат Wildcard выдан на *.sub1.domain.com, в этом случае вы можете защитить все поддомены второго уровня, перечисленные в sub1.domain.com.

Например:

aaa.sub1.domain.com
bbb.sub1.domain.com
ccc.sub1.domain.com
***. Sub1.domain.com

Если вы хотите защитить ограниченное количество поддоменов и доменов второго уровня, вы можете выбрать многодоменный SSL, который может защитить до 100 доменных имен с помощью одного сертификата.

Например:

domain.com
sub1.domain.com
aaa.sub2.domain.com
domain2.net
domain3.org

Вы должны знать свои реальные требования, чтобы выбрать сертификат SSL.

27 янв '10 в 16:36 2010-01-27 16:36 · Answer 4 · 2010-01-27 16:36

Просто для подтверждения FF и IE 8 НЕ примут сертификаты в форме *.*.example.com хотя технически возможно их создать.

23

Источник

27 янв '10 в 16:36

klaus thorn 17 сен '13 в 16:19 2013-09-17 16:19 · Answer 5 · 2013-09-17 16:19

Это может стоить нового раунда тестов с текущими версиями браузера.

Мой личный быстрый результат проверки: Firefox 20.0.1, кажется, все еще не поддерживает это. Это показывает:

Этот сертификат действителен только для *.*. Mydomain.com

... при серфинге на https://svn.project.mydomain.com/.

Internet Explorer 9.0:

Сертификат этого сайта был сделан для другого адреса

Заметки:

Оба заявления переведены с немецкого на английский мной. Возможно, я не использовал те же фразы, что и английские версии браузера.
Я использовал самозаверяющий сертификат. Что заставило браузеры показывать дополнительное предложение с предупреждением. Я предполагаю, что приведенные выше цитаты также будут показаны с доверенным издателем сертификата. Проверка этого была за рамками моей "быстрой проверки".

F21 06 янв '13 в 23:54 2013-01-06 23:54 · Answer 6 · 2013-01-06 23:54

Я просто проводил некоторые исследования по этому вопросу, поскольку у меня есть те же требования для защиты поддоменов, и я нашел решение от DigiCert.

Этот сертификат говорит, что он будет поддерживать yourdomain.com, *.yourdomain.com, *.*.yourdomain.com и так далее.

В настоящее время он довольно дорогой, но есть надежда, что другие провайдеры начнут предлагать аналогичные сертификаты и снизят цены.

deadManN 14 май '18 в 06:52 2018-05-14 06:52 · Answer 7 · 2018-05-14 06:52

Хотя я не смотрю на ваш вопрос, я просто случайно прочитал что-то об этом несколько минут назад:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

это объясняет, что вы не можете использовать двойную звездочку

4

Источник

deadManN 14 май '18 в 06:52

Colt Blake 12 фев '13 в 17:25 2013-02-12 17:25 · Answer 8 · 2013-02-12 17:25

Что вы можете сделать, это что-то вроде *.domain.com, а затем *.www.domain.com или *.mail.domain.com. Я никогда не видел *. *. Domain.com на производственном сайте.

Вы можете получить подстановочный знак (*.domain.com), но вам также понадобится *.www.domain.com в качестве альтернативной записи имени субъекта, чтобы заставить это работать. Единственные компании, которые я знаю, предлагают это ssl.com и digicert. Могут быть и другие, но я не уверен.