Почему мой подстановочный SSL-сертификат вызывает ошибку несоответствия домена на поддомене второго уровня?

22

У меня есть сервер https://www.groups.example.com- в FireFox я получаю This Connection is Untrustedсообщение " " и "технические детали" говорят

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

Какую другую информацию мне нужно предоставить, чтобы решить эту проблему? Просто получаю подтверждение настройки, но на 99% уверен, что это Linux и использует VHOSTS. Обновлю вопрос, как только это подтвердится.

Это тот факт, что www.groups.example.com рассматривается как имеющий 2 уровня поддоменов?

Эмитент DigiCert

ssl https ssl-certificate pee2pee
источник
2
Я уверен, что проблема заключается в двух уровнях поддоменов, и я вполне уверен, что это дублирующий вопрос - но я не могу сейчас поставить руку на исходный вопрос.
MadHatter поддерживает Монику
Вы не можете использовать поддомен подстановочного знака и иметь совпадение. Вам нужно будет использовать SAN. Кроме того, mydomain.comэто не то же самое, что example.org.
gparent
2
@gparent Обычно хорошей идеей является просмотреть историю редактирования вопроса, когда вы видите такое несоответствие. В этом случае я был тем, кто пропустил один случай, mydomain.comкогда я исправлял пост. (При манипулировании доменными именами следует всегда использовать, example.[com|org|net]а не придумывать что-то вроде того, mydomain.comчто на самом деле существует, но не принадлежит постеру.)
Дженни Д. говорит, что восстановите Монику
1
@JennyD: +1 от меня! Еще один, если бы я мог, вопрос о том, чтобы манипулировать доменными именами (но еще лучше - не редактировать их вообще).
MadHatter поддерживает Монику
1
@gparent Я совершенно определенно согласен, что люди не должны в первую очередь взламывать свое доменное имя. Но если они это сделают, они должны по крайней мере сделать это правильно.
Дженни Ди говорит восстановить Монику

Ответы:

47

RFC 2818 в «3.1. Идентификация сервера» гласит, что

Имена могут содержать подстановочный знак, *который считается соответствующим любому компоненту доменного имени или фрагменту компонента. Например, *.a.comсоответствует, foo.a.comно нет bar.foo.a.com.

Так что да, проблема в том, что это два уровня поддоменов.

Дженни Ди говорит восстановить Монику
источник
18
Кто-нибудь еще находит забавным, что RFC2818 игнорирует RFC2606 при выборе примера доменного имени?
MadHatter поддерживает Монику
Также интересно, что, хотя RFC2818 носит информационный характер , предлагаемый стандарт RFC7230 ссылается на него как на определение.
Эса Йокинен,