Вопрос: Сертификат SSL подстановки для субдомена второго уровня


Я хотел бы знать, поддерживают ли какие-либо сертификаты двойной шаблон, например *.*.example.com? Я только что разговаривал с моим провайдером SSL (register.com), и девушка сказала, что они ничего не предлагают и что она не думала, что это возможно.

Может ли кто-нибудь сказать мне, возможно ли это, и если браузеры поддерживают это?


72
2018-01-19 14:34


Источник


FYI для будущих посетителей, ни один браузер не поддерживает двойной подстановочный знак ala *.*.example.com по состоянию на 2015 год. Не знаю, почему. - Mahn
@Mahn Тогда вам нужно написать *.a.a.com,*.b.a.com,*.c.a.com, ... вручную? - William
@LiamWilliam, по-видимому, я не нашел других комбинаций, которые браузеры до сих пор. Это боль. - Mahn


Ответы:


RFC2818 состояния:

Если более одного идентификатора данного   тип присутствует в сертификате   (например, более одного имени dNSName,   совпадение в любом из множества   считается приемлемым.) Имена могут   содержат подстановочный знак *, который   считается подходящим для любого сингла   компонент или компонент доменного имени   фрагмент. Например, * .a.com совпадения   foo.a.com, но не bar.foo.a.com.   f * .com соответствует foo.com, но не   bar.com.

Internet Explorer ведет себя так, как описано в RFC, где каждый уровень нуждается в собственном подстановочном сертификате. Firefox доволен одним * .domain.com, где * соответствует чему-либо перед domain.com, включая other.levels.domain.com, но также будет обрабатывать типы *. *. Domain.com.

Итак, чтобы ответить на ваш вопрос: это возможно и поддерживается браузерами.


45
2018-01-19 15:36



Спасибо! Тестирование на FF 3.5.7 сегодня утром показало, что теперь он соответствует RFC так же, как IE. Он отклонил мои .example.com cert для foo.bar.example.com. Поэтому просто для того, чтобы прояснить все, что мне нужно, это еще один сертификат подстановки, который имеет *..example.com как общее имя?
правильно, на основании этого вам понадобится *. *. example.com - Alex
Я тестировал только в FF 3.5 и IE 8, и ни один из них не принимал сертификат для ,.example.com. Я думаю, что единственным решением является использование нескольких подстановочных сертификатов. - Robert
Кто написал этот стандарт? Это бесполезно. Также пустая трата денег, если вы спросите меня. Что он защищает? - Brent Pabst
Если двойные шаблоны вызывают проблемы, работают ли определенные поддомены вокруг подстановочных знаков? ала SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com - rcoup


Просто чтобы подтвердить, что FF и IE 8 НЕ принимают сертификаты в форме *.*.example.com хотя технически их можно создать.


17
2018-01-27 16:36



Тогда вам нужно написать *.a.a.com,*.b.a.com,*.c.a.com вручную? - William


Если для * .domain.com выдается сертификат SSL подстановочного знака, вы можете защитить неограниченное количество поддоменов в главном домене.

Например:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • к югу * .domain.com

Если сертификат SSL подстановочного знака выдается на * .sub1.domain.com, в этом случае вы можете защитить все субдомены второго уровня, указанные в разделе sub1.domain.com

Например:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. Sub1.domain.com

Если вы хотите защитить ограниченное количество поддоменов и домены второго уровня, вы можете выбрать SSL для нескольких доменов, который может обеспечить до 100 имен доменов одним сертификатом.

Например:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Вы должны знать свои фактические требования для выбора сертификата SSL.


15
2018-01-08 12:19



Это хорошее понимание, но не отвечает на вопрос. Вы упомянули все комбинации, но не тот, о котором попросил ОП (,.domain.com). - DanFromGermany


Это может стоить новый раунд тестов с текущими версиями браузера.

Мои личные быстрые результаты проверки: Firefox 20.0.1, похоже, все еще не поддерживает это. Это показывает:

Этот сертификат действителен только для *. *. Mydomain.com

... при серфинге https://svn.project.mydomain.com,

Internet Explorer 9.0:

Сертификат этого веб-сайта был составлен для другого адреса

Заметки:

  • Оба заявления, переведенные с немецкого на английский, мной. Вероятно, я не использовал те же фразы, что и английские версии браузера.
  • Я использовал самозаверяющий сертификат. Это заставило браузеры показать дополнительное предупреждение. Я предполагаю, что приведенные выше цитаты также будут показаны с доверенным сертификатом сертификата. Проверка этого была вне сферы моей «быстрой проверки».

8
2017-09-17 16:19





Я просто делал некоторые исследования по этому вопросу, так как у меня одинаковые требования для защиты поддоменов, а также решение от DigiCert.

Эти сертификаты говорят, что он будет поддерживать yourdomain.com, *.yourdomain.com, *.*.yourdomain.com и так далее.

В настоящее время это довольно дорого, но есть надежда, что другие провайдеры начнут предлагать подобные сертификаты и снижать цены.


6
2018-01-06 23:54



это правильный подход. подстановочный сертификат, имеющий несколько (подстановочных) имен, поддерживаемых - drAlberT
У нас есть этот сертификат от digicert. Он поддерживает его, но не по умолчанию. Вам необходимо создать дубликат сертификата и указать все поддомены в сертификате. Это не автоматическое. - L_7337


хотя я не заглядываю в ваш вопрос, я просто что-то прочитал об этом минут назад:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

это объясняет, что вы не можете использовать двойную звездочку


1
2018-05-14 06:52





Вы можете сделать что-то вроде * .domain.com, а затем * .www.domain.com или * .mail.domain.com. Я никогда не видел *. *. Domain.com на производственном сайте.

Вы можете получить подстановочный знак (* .domain.com), но вам также понадобится * .www.domain.com в качестве альтернативной записи имени субъекта, чтобы заставить это работать. Единственные компании, которые, как я знаю, предлагают это ssl.com и digicert. Могут быть и другие, но я не уверен.


0
2018-02-12 17:25