подстановочный знак ssl на субдомене [закрыто]

146

у нас есть подстановочный сертификат ssl для * .domain.com, и у нас есть веб-сайт с sub1.sub2.domain.com

Safari 4.0.4 в MacOsx выдает ошибку сертификата (предположительно из-за интерпретации с подстановочными знаками), а safari 4 в Windows - нет.

также поведение ie8 в лучшем случае смешанное, некоторые ie8 не отображают ошибку сертификата, а некоторые нет.

Что вызывает это странное поведение в Safari и IE?

Porto Alet
источник
4
только что понял эту проблему после покупки нового 2-х летнего сертификата ...
Рафа

Ответы:

192

Сертификат SSL с подстановочными знаками для * .example.net будет соответствовать sub.example.net, но не будет sub.sub.example.net .

Из RFC 2818 :

Сопоставление выполняется с использованием правил сопоставления, указанных в RFC2459 . Если в сертификате присутствует более одного идентификатора данного типа (например, более одного имени dNSName, совпадение в любом из набора считается приемлемым). Имена могут содержать подстановочный знак, *который считается совпадающим с любым отдельным доменом Назовите компонент или фрагмент компонента. Например, *.a.comсоответствует, foo.a.comно нет bar.foo.a.com. f*.comсоответствует, foo.comно нет bar.com.

Элиас Торрес Арройо
источник
5
@ Крис Я так не думаю, существуют различные технические факторы, которые ограничивают такое правило и вынуждают центры сертификации соответствующим образом разрабатывать сертификат безопасности.
51
@sophie различные технические факторы, например, кто-то понял, что выгоднее продавать бесконечные сертификаты, чем позволить одному сертификату охватывать каждый сценарий до бесконечности.
Крис Марисик
3
См. Blackhat.com/presentations/bh-dc-09/Marlinspike/… слайд 91 для возможной угрозы безопасности с подстановочными сертификатами. Также см. Media.blackhat.com/bh-ad-10/Hansen/… слайд 38.
Карл
5
@ user1602478: что это за технические факторы?
иконоборчество
5
Вы *.*.example.comможете защитить субдомены первого и второго уровня?
Шейн Роватт
67

Если вам нужен подстановочный сертификат, содержащий сайты * .domain.com, а также работающий с sub1.sub2.domain.com или другим доменом, например * .domain2.com, вы можете решить это с помощью одного подстановочного сертификата с тем, что называется субъектом. расширение альтернативного имени (SAN) для каждого из других субдоменов. Сертификат SAN предназначен не только для нескольких конкретных имен хостов, он также может быть создан для записей с подстановочными знаками.

Например, * .domain.com, sub1.sub2.domain.com и * .domain2.com будут иметь общее имя * .domain.com, тогда вы можете присоединить альтернативное имя субъекта как * .domain2.com, так и * .sub2.domain.com. Это может зависеть от центра сертификации от того, как они будут взимать с вас (или нет) плату за сертификат, но есть некоторые, где это предложение доступно. Кроме того, поддержка SAN довольно широко распространена в пространстве веб-браузера. Лучший реальный пример такого использования - сертификат SSL от Google. Откройте Google и просмотрите его SSL-сертификат. Вы увидите, что он работает для * .google.com, * .youtube.com, * .gmail.com и многих других, где они указаны в качестве альтернативных имен субъектов.

RobLL
источник
7
Каковы примеры центров сертификации, которые будут выдавать такие сертификаты?
Арто Бендикен
14
Таким образом, возможно ли получить сертификат для *.DOMAIN.COMэтого, который имеет SAN для *.*.DOMAIN.COM(и, возможно, *.*.*.DOMAIN.COM) для покрытия этих субдоменов и субдоменов?
Саймон Ист
4
@SimonEast невозможно.
Ник
Это должен быть принятый ответ. @ Ник, зайдите на sslshopper.com/ssl-checker.html#hostname=google.com и посмотрите раздел SAN
Нехал Дж Вани
@NehalJWani что я должен искать?
Ник
18

Подстановочный знак применяется только к первой части (слева) вашего домена. Так что вам понадобится сертификат для * .sub2.domain.com

Если вы имели в виду, что у вас есть sub1.domain.com и sub2.domain.com, то это должно работать.

ОКГ
источник