Wildcard SSL общее имя - это можно назвать как угодно?

34

Мне просто интересно, нужно ли обязательно, чтобы подстановочный SSL-сертификат имел общее имя, содержащее доменное имя сайтов, к которым применяется SSL-сертификат.

Например, для следующего:

Доменное имя: testdomain.com

Подсайты:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Нужно ли обязательно, чтобы мой сертификат подстановочного знака имел общее имя *.testdomain.com?

ssl-certificate каламбур
источник
serverfault.com может быть лучшим местом для этого вопроса.

Ответы:

38

Да, ваше общее имя должно быть * .yourdomain.com для подстановочного сертификата.

По сути, общее имя определяет, для какого домена подходит ваш сертификат, поэтому оно должно указывать фактический домен.

Пояснение: оно не должно «содержать» доменное имя сайтов, оно должно быть доменом сайтов. Я предполагаю, что в вашем вопросе нет разницы, я просто хотел уточнить, на случай, если будет неправильное представление о том, каким должен быть домен, или для чего будет использоваться сертификат.

Даниэль Маглиола
источник
4

На самом деле, вы должны использовать dnsNameзаписи в subjectAltNameразделе сертификата для указания FQDN, а не части CN subject. Использование subjectдля этой цели не рекомендуется с тех пор, как в 2000 году был опубликован RFC 2818. Раздел 3.1 цитирования :

Если присутствует расширение subjectAltName типа dNSName, оно ДОЛЖНО использоваться в качестве идентификатора. В противном случае ДОЛЖНО использоваться (наиболее определенное) поле общего имени в поле «Тема» сертификата. Хотя использование общего имени является существующей практикой, оно устарело, и сертификационным органам рекомендуется вместо этого использовать dNSName.

Единственный случай, когда содержание subjectрелевантно в контексте проверки сертификата сервера, - это если он не dnsNameвключен subjectAltName, случай, который устарел в течение последних 17 лет на момент написания.

Использование подстановочных сертификатов не рекомендуется, как показано в разделе 7.2 RFC 6125 :

В этом документе говорится, что подстановочный знак «*» НЕ ДОЛЖЕН включаться в представленные идентификаторы, но МОЖЕТ проверяться клиентами приложения (главным образом, для обеспечения обратной совместимости с развернутой инфраструктурой).

Использование одного и того же закрытого ключа для нескольких сервисов обычно считается плохой практикой. Если одна из служб будет скомпрометирована, связь с другими службами окажется под угрозой, и вам придется заменить ключ (и сертификат) для всех служб.

Я предлагаю RFC 6125 в качестве хорошего источника информации по этому вопросу.

Эрван Легран
источник
«И так же сертификаты подстановочных знаков»: не могли бы вы уточнить? dnsNameможет содержать подстановочный домен. Кроме того, что должно быть subjectв этом случае?
WoJ
Посмотрите RFC 6125 разделы 1.5 и 7.2 . Пока subjectAltNameсодержит хотя бы один dnsName, содержимое subjectне имеет значения в контексте проверки сертификата.
Эрван Легран
@WoJ Я отредактировал свой ответ. Надеюсь, теперь все стало понятнее.
Эрван Легран
3

Да, Wildcard SSL Certificate является лучшим решением в соответствии с вашими требованиями. С сертификатом Wildcard вы сможете защитить информацию вашего посетителя. Не имеет значения, какая страница вашего сайта отправлена. Подстановочный сертификат защищает неограниченное количество поддоменов, имеющих одно и то же доменное имя.

Установка одного и того же подстановочного сертификата во всех поддоменах и серверах передает встроенный риск: если один сервер или поддомен скомпрометирован, все поддомены могут быть скомпрометированы одинаково. Убедитесь, что ваш сайт защищен несколькими уровнями защиты от любого внешнего и внутреннего давления.

Джей Дэн
источник