Подстановочный SSL-сертификат для субдомена второго уровня

93

Я хотел бы знать, если какие-либо сертификаты поддерживают двойной подстановочный знак, как *.*.example.com? Я только что говорил по телефону с моим текущим поставщиком SSL (register.com), и девушка там сказала, что они не предлагают ничего подобного, и что она не думала, что это все равно возможно.

Может кто-нибудь сказать мне, если это возможно, и если браузеры поддерживают это?

Александр Бломскёльд
источник
10
К вашему сведению для будущих посетителей, ни один браузер не поддерживает двойной сертификат подстановки, *.*.example.comкак на 2015 год. Не знаю почему.
Ман
@Mahn Тогда вы должны написать *.a.a.com, *.b.a.com, *.c.a.com, ... вручную?
Уильям
1
@LiamWilliam, видимо, я не нашел других комбинаций, которые нравятся браузерам до сих пор. Это боль.
Ман
1
@William да, но, с другой стороны, не используйте .для разделения вещей в вашем доменном имени, которые принадлежат друг другу - домены - это проблемы домена. Зачем вам это нужно phpmyadmin.serverX.domain.com, когда phpmyadmin-serverX.domain.comсемантически точнее и легче обрабатывать в терминах DNS и TLS.
Даниэль В.

Ответы:

52

RFC2818 заявляет:

Если в сертификате присутствует более одного идентификатора данного типа (например, более одного имени dNSName, совпадение в любом из набора считается приемлемым). Имена могут содержать подстановочный знак *, который считается совпадающим с любым одним компонент доменного имени или фрагмент компонента. Например, * .a.com соответствует foo.a.com, но не bar.foo.a.com. f * .com соответствует foo.com, но не bar.com.

Internet Explorer ведет себя так, как описано в RFC, где каждому уровню требуется собственный сертификат с подстановочными знаками. Firefox доволен одним * .domain.com, где * соответствует чему-либо перед domain.com, включая other.levels.domain.com, но также будет обрабатывать и типы *. *. Domain.com.

Итак, чтобы ответить на ваш вопрос: это возможно и поддерживается браузерами.

Alex
источник
5
Спасибо! Этим утром тестирование на FF 3.5.7 показало, что теперь оно соответствует RFC так же, как и IE. Он отклонил мой сертификат .example.com для foo.bar.example.com. Так что просто чтобы уточнить все, что мне нужно, это еще один подстановочный знак, который имеет *. .example.com как общее имя?
7
Я только что проверил в FF 3.5 и IE 8, и ни один не примет сертификат для . .example.com. Я думаю, что единственным решением является использование нескольких сертификатов подстановочных знаков.
Роберт
9
Кто написал этот стандарт? Это ничего не стоит. Также пустая трата денег, если вы спросите меня. Что это защищает?
Брент Пабст
6
Если двойные подстановочные знаки вызывают проблемы, работают ли определенные субдомены вокруг подстановочных знаков? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, я просто проверял, и Firefox показывает мне Ваше соединение не является безопасной страницей при доступе sub1.sub2.mydomain.comс *.mydomain.comсертификатом, несмотря учитывая , что сертификат действителен в течение sub2.mydomain.com. Итак, насколько я могу судить, этот ответ действительно неправильный, по крайней мере, сегодня. Учитывая, что был также комментарий от кого-то, что они не могли воспроизвести поведение в день публикации ответа , я скептически отношусь к тому, было ли оно когда-либо правильным.
Марк Амери
20

Просто для подтверждения FF и IE 8 НЕ примут сертификаты в форме, *.*.example.comхотя технически возможно создать их.


источник
2
Тогда вы должны написать *.a.a.com, *.b.a.com, *.c.a.comвручную?
Уильям
2
@ Уильям, я так думаю. Это действительно неудачно.
Франклин Ю
17

Когда сертификат Wildcard SSL выдан для * .domain.com, вы можете защитить неограниченное количество поддоменов над основным доменом.

Например:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • к югу * .domain.com

Если SSL-сертификат Wildcard выдан на * .sub1.domain.com, в этом случае вы можете защитить все поддомены второго уровня, которые перечислены в sub1.domain.com.

Например:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. Sub1.domain.com

Если вы хотите защитить ограниченное количество поддоменов и доменов второго уровня, вы можете выбрать многодоменный SSL, который может защитить до 100 доменных имен с помощью одного сертификата.

Например:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Вы должны знать свои реальные требования, чтобы выбрать сертификат SSL.

Джейсон Пармс
источник
1
Это хорошее понимание, но не отвечает на вопрос. Вы упомянули все комбинации, но не ту, которую попросил ОП ( . .Domain.com).
Даниэль В.
8

Это может стоить нового раунда тестов с текущими версиями браузера.

Мой личный быстрый результат проверки: Firefox 20.0.1, кажется, все еще не поддерживает это. Это показывает:

Этот сертификат действителен только для *. *. Mydomain.com

... при серфинге на https://svn.project.mydomain.com .

Internet Explorer 9.0:

Сертификат этого сайта был сделан для другого адреса

Примечания:

  • Оба заявления переведены с немецкого на английский мной. Возможно, я не использовал те же фразы, что и английские версии браузера.
  • Я использовал самозаверяющий сертификат. Что заставило браузеры показывать дополнительное предложение с предупреждением. Я предполагаю, что приведенные выше цитаты также будут показаны с доверенным издателем сертификата. Проверка этого была за рамками моей «быстрой проверки».
Клаус Торн
источник
7

Я просто проводил некоторые исследования по этому вопросу, поскольку у меня есть те же требования для защиты поддоменов, и я нашел решение от DigiCert.

Эти сертификаты говорят , что это будет поддерживать yourdomain.com, *.yourdomain.com, *.*.yourdomain.comи так далее.

В настоящее время он довольно дорогой, но есть надежда, что другие провайдеры начнут предлагать аналогичные сертификаты и снизят цены.

F21
источник
это правильный подход. сертификат подстановочного знака с поддержкой нескольких (подстановочных) имен
drAlberT
У нас есть этот сертификат от Digicert. Это поддерживает, но не по умолчанию. Вы должны создать дубликат сертификата и указать все субдомены в сертификате. Это не автоматически.
L_7337
7

Все ответы здесь устарели или не полностью верны, не считая RFC 6125 от 2011 года.

Согласно RFC 6125 , в одном левом фрагменте допускается только один подстановочный знак.

Действительно:

*.sub.domain.tld
*.domain.tld

Инвалид:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Фрагмент, или также называемый «метка», является закрытым компонентом, например: *.com(2 метки) не совпадает label.label.com(3 метки) - это уже было определено в RFC 2818.

До 2011 года в RFC 2818 настройка не была полностью ясна:

Спецификации для существующих технологий приложений не ясны или непоследовательны в отношении допустимого расположения подстановочного знака.

Это изменилось с RFC 6125 от 2011 года (6.4.3):

Клиенту НЕ СЛЕДУЕТ пытаться сопоставить представленный идентификатор, в котором подстановочный символ содержит метку, отличную от самой левой метки (например, не соответствует строке. *. Example.net).

Даниэль В.
источник
2

хотя я не смотрю на ваш вопрос, я просто случайно прочитал что-то об этом несколько минут назад:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

это объясняет, что вы не можете использовать двойную звездочку


редактировать

Добавьте часть цитаты на случай, если сайт не работает или его слишком долго читать

То, что невозможно, - это попытаться покрыть как поддомены mail.xyz.com, так и photos.xyz.com с одним подстановочным знаком. Центр сертификации или центр сертификации может предоставить сертификат SSL только с одним (*). Вы не могли сгенерировать запрос на подпись сертификата, который выглядел следующим образом . .xyz.com, чтобы попытаться охватить более одной группы поддоменов второго уровня.

Причина по которой

Причины, по которым невозможно получить SSL-сертификат с «двойным подстановочным знаком», заключается в том, что заполнитель, звездочка, может заменять только одно поле в имени, передаваемом в CA. В конце концов, ЦС должен проверить всю информацию, и слишком большое количество переменных в сертификате уменьшит безопасность и достоверность, которые обеспечивает сертификат.

Кроме того, и это важно для ИТ-менеджеров и владельцев веб-сайтов, внутренняя безопасность не может быть легко нарушена. Имейте в виду, что любой тип проблемы безопасности после того, как SSL-сертификат установлен, гораздо более вероятен из-за внутреннего нарушения безопасности, когда кто-то, имеющий доступ к закрытому ключу и сертификату, может настроить веб-сайт субдомена, который фактически покрывается SSL.

deadManN
источник
1
Я должен отметить, что правила ответов требуют, чтобы вы указали основные части статьи в своем теле ответа. Поскольку эта ссылка может со временем измениться или статья может быть удалена. В противном случае это не может считаться ответом.
sr9yar
0

Вы можете сделать что-то вроде * .domain.com, а затем * .www.domain.com или * .mail.domain.com. Я никогда не видел *. *. Domain.com на производственном сайте.

Вы можете получить подстановочный знак (* .domain.com), но вам также понадобится * .www.domain.com в качестве альтернативной записи имени субъекта, чтобы заставить это работать. Единственные компании, которые я знаю, предлагают это ssl.com и digicert. Могут быть и другие, но я не уверен.

Кольт Блейк
источник
с letsencrypt вы также можете выдавать сертификаты подстановочных знаков. И они допускают несколько SAN. Таким образом, вы можете определить набор SAN. Например -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
фрагментарная