alt alt alan adında joker karakter SSL [kapalı]

148

* .domain.com için joker ssl sertifikamız ve sub1.sub2.domain.com ile bir web sitemiz var

MacOsx'te safari 4.0.4 bir sertifika hatası verir (muhtemelen joker karakter yorumlaması nedeniyle), ancak Windows'ta Safari 4 göstermez.

ayrıca ie8 davranışı en iyi ihtimalle karıştırılır, bazı ie8'ler sertifika hatasını göstermezken bazıları göstermez.

Safari ve IE'deki bu garip davranışa ne sebep olur?

ssl-certificate  wildcard-subdomain 
porto aleti
kaynak
4
2 yıllık yeni bir sertifika satın aldıktan sonra bu sorunu yeni fark ettim ...
Rafa

Yanıtlar:

194

A joker SSL sertifikası .example.net * maç olacak sub.example.net ama sub.sub.example.net .

Gönderen RFC 2818 :

Eşleştirme, RFC2459 tarafından belirtilen eşleştirme kuralları kullanılarak gerçekleştirilir . Sertifikada belirli bir türde birden fazla kimlik varsa (örneğin, birden fazla dNSName adı, kümenin herhangi birindeki bir eşleşme kabul edilebilir olarak kabul edilir.) Adlar, *herhangi bir tek alanla eşleştiği düşünülen joker karakteri içerebilir adı bileşeni veya bileşen parçası. Örneğin *.a.comeşleşir foo.a.comama eşleşmez bar.foo.a.com. f*.comeşleşir foo.comama değil bar.com.

Elias Torres Arroyo
kaynak
5
@Chris Sanmıyorum, bu kuralı kısıtlayan ve Sertifika yetkililerini buna göre güvenlik sertifikası geliştirmeye zorlayan çeşitli teknik faktörler var.
51
@sophie çeşitli teknik faktörler, birisinin sonsuzluk sertifikası satmanın her senaryoyu sonsuza kadar kapsaması için 1 sertifikaya izin vermekten daha karlı olduğunu fark etmesi gibi.
Chris Marisic
3
Wildcard sertifikalarıyla ilgili olası bir güvenlik tehdidi için blackhat.com/presentations/bh-dc-09/Marlinspike/… 91. slayta bakın . Ayrıca media.blackhat.com/bh-ad-10/Hansen/… 38. slayda bakın.
Carl
5
@ user1602478: Bu teknik faktörler nelerdir?
iconoclast
5
*.*.example.combirinci ve ikinci seviye alt alanların güvenliğini sağlamanız gerekebilir mi?
Shane Rowatt
72

* .Domain.com sitelerini içeren ve ayrıca sub1.sub2.domain.com veya * .domain2.com gibi başka bir alan adı ile çalışan bir joker karakter sertifikasına ihtiyacınız varsa, bunu konu adı verilen tek bir joker karakter sertifikasıyla çözebilirsiniz. diğer alt alanların her biri için alternatif ad (SAN) uzantısı. SAN sertifikası yalnızca birden çok belirli ana bilgisayar adı için değildir, aynı zamanda joker karakter girişleri için de oluşturulabilir.

Örneğin, * .domain.com, sub1.sub2.domain.com ve * .domain2.com Ortak Adı * .domain.com olur, ardından hem * .domain2.com hem de alternatif konu adı eklersiniz * .sub2.domain.com. Sertifika için sizden nasıl ücret alacakları (veya olmayacakları) Sertifika Yetkilisine bağlı olabilir, ancak bu teklifin mevcut olduğu yerlerde bazıları vardır. Ayrıca, SAN desteği web tarayıcısı alanında oldukça yaygındır. Bu kullanımın gerçek dünyadaki en iyi örneği, Google'ın SSL sertifikasıdır. Google'ı açın ve SSL sertifikasını görüntüleyin, bunun * .google.com, * .youtube.com, * .gmail.com ve konu alternatif adları olarak listelendikleri bir grup daha için çalıştığını göreceksiniz.

RobLL
kaynak
7
Bu tür sertifikaları verecek CA'lara örnekler nelerdir?
Arto Bendiken
14
Öyleyse, bu alt-alt-alt-etki alanlarını ve alt-alt-etki alanlarını kapsayacak (ve muhtemelen ) *.DOMAIN.COMbir SAN'a sahip olan bir sertifika almak mümkün *.*.DOMAIN.COMolabilir *.*.*.DOMAIN.COMmi?
Simon East
4
@SimonEast mümkün değil.
Nick
Kabul edilen cevap bu olmalıdır. @ Nick, gidin sslshopper.com/ssl-checker.html#hostname=google.com ve SAN bölümünde bakmak
Nehal J Wani
@NehalJWani ne aramalıyım?
Nick
19

Joker karakter, alan adınızın yalnızca ilk kısmına (soldan) uygulanır. Yani * .sub2.domain.com için bir sertifikaya ihtiyacınız olacak

Sub1.domain.com ve sub2.domain.com'a sahip olduğunuzu kastettiyseniz, o zaman çalışmalıdır.

JAG
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.