İkinci seviye alt alan adı için Wildcard SSL sertifikası

93

Herhangi bir sertifika gibi bir çift joker karakter destekleyip desteklemediğini bilmek ister *.*.example.commisiniz? Şu anki SSL sağlayıcımla (register.com) telefonda bulundum ve oradaki kız böyle bir şey teklif etmediklerini ve bunun mümkün olduğunu düşünmediğini söyledi.

Bunun mümkün olup olmadığını ve tarayıcıların bunu destekleyip desteklemediğini bana söyleyen var mı?

ssl  subdomain  certificate  wildcard 
Aleksander Blomskøld
kaynak
10
Gelecekteki ziyaretçiler için FYI, hiçbir tarayıcı *.*.example.com2015 itibariyle ala bir çift joker sertifikasını desteklememektedir .
Mahn
@Mahn Sonra yazmak zorunda yapmak *.a.a.com, *.b.a.com, *.c.a.commanuel, ...?
William
1
@ LiamWilliam, görünüşe göre, tarayıcıların bugüne kadar beğendikleri başka kombinasyonlar bulamadım. Bu bir acı.
Mahn
1
@William evet, ancak diğer yandan, .alan adınızla birbirine ait olan şeyleri ayırmak için kullanmayın - alanlar alan kaygılarıdır. DNS ve TLS terimlerinde anlamsal olarak daha doğru ve daha kolay phpmyadmin.serverX.domain.comolduğunda neden ihtiyaç duyuyorsunuz phpmyadmin-serverX.domain.com?
Daniel W.

Yanıtlar:

53

RFC2818 belirtir:

Sertifikada belirli bir türde birden fazla kimlik varsa (örneğin, birden fazla dNSName adı varsa, kümedeki herhangi birindeki bir eşleşmenin kabul edilebilir olduğu kabul edilir.) İsimler, herhangi bir eşleştiği kabul edilen joker karakter * içerebilir etki alanı adı bileşeni veya bileşen parçası. Örneğin, * .a.com foo.a.com ile eşleşir ancak bar.foo.a.com ile eşleşmez. f * .com foo.com ile eşleşir ancak bar.com ile eşleşmez.

Internet Explorer, her seviyenin kendi joker sertifikasına ihtiyaç duyduğu, RFC tarafından belirtilen şekilde davranır. Firefox, * ile etki alanı.com'un önünde, diğer.levels.etkialan.com da dahil olmak üzere herhangi bir şeyle eşleşen, ancak *. *. Domain.com türlerini de işleyen tek bir *.

Yani, sorunuzu cevaplamak için: bu mümkün ve tarayıcılar tarafından desteklenmektedir.

Alex
kaynak
5
Teşekkür ederim! Bu sabah FF 3.5.7'de yapılan testler, şu anda IE ile aynı şekilde RFC uyumlu olduğunu göstermiştir. Foo.bar.example.com için .example.com sertifikamı reddetti . Sadece ihtiyacım olanı netleştirmek için * olan bir başka joker karakter. .ornek.com Ortak Ad olarak mı?
7
Sadece FF 3.5 ve IE 8’de test ettim ve ikisi de sertifika almayacaktı . .example.com. Bence tek çözüm birden çok joker sertifika kullanmaktır.
Robert
9
Bu standardı kim yazdı? Bu değersiz. Ayrıca bana sorarsanız para kaybı. Neyi koruyor?
Brent Pabst
6
Çift joker karakterler sorun çıkarırsa, joker karakterler etrafındaki belirli alt alanlar çalışır mı? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, az önce test ettim ve Firefox bana bir sertifikayla erişirken , geçerli sertifika için geçerli olmasına rağmen, bağlantınız güvenli değil . Yani, en iyi söyleyebileceğim gibi, bu cevap gerçekten de yanlıştır, en azından bugün. Ayrıca, bir kimsenin , cevabın gönderildiği gündeki davranışı yeniden üretemediklerini söyleyen bir yorum olduğunu da göz önünde bulundurarak, bunun doğru olup olmadığı konusunda şüphelerim var. sub1.sub2.mydomain.com*.mydomain.comsub2.mydomain.com
Mark Amery
20

Sadece onaylamak için FF ve IE 8 formları sertifikaları kabul etmeyecek *.*.example.comolsa da bunları oluşturmak teknik olarak mümkün.

2
Sonra yazmak zorunda *.a.a.com, *.b.a.com, *.c.a.commanuel?
William
2
@ William sanırım. Bu gerçekten talihsiz bir durum.
Franklin Yu,
17

* .Domain.com için Wildcard SSL sertifikası verildiğinde, sınırsız sayıda alt alan adınızı ana alan üzerinden güvence altına alabilirsiniz.

Örneğin:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • alt * .etkialanı.com

Wildcard SSL sertifikası * .sub1.domain.com adresinde verilirse, bu durumda sub1.domain.com altında listelenen tüm ikinci düzey alt etki alanlarını güvence altına alabilirsiniz.

Örneğin:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. Sub1.domain.com

Sınırlı sayıda alt etki alanını ve ikinci düzey etki alanını güven altına almak istiyorsanız, tek bir sertifika ile 100 etki alanı adına kadar güvence altına alabilen çoklu etki alanı SSL'yi seçebilirsiniz.

Örneğin:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Bir SSL sertifikası seçmek için gerçek gereksinimlerinizi bilmeniz gerekir.

Jason Parms
kaynak
1
Bu iyi bir anlama ama soruyu cevaplamıyor. Tüm kombinasyonlar ancak OP istedi bir (söz . .Domain.com).
Daniel W.
8

Bu, mevcut tarayıcı sürümleriyle yeni bir test turuna değer olabilir.

Kişisel hızlı kontrol sonuçlarım: Firefox 20.0.1 hala bunu desteklemiyor gibi görünüyor. Gösteriyor:

Bu sertifika sadece *. * .Alanalanim.com için geçerlidir.

... https://svn.project.mydomain.com adresinde gezinirken .

Internet Explorer 9.0:

Bu web sitesinin sertifikası başka bir adres için yapıldı

Notlar:

  • Her iki ifade de bana göre Almanca'dan İngilizceye çevrildi. Muhtemelen ingilizce tarayıcı versiyonlarının gösterdiği gibi aynı cümleleri kullanmamıştım.
  • Kendinden imzalı bir sertifika kullandım. Bu, tarayıcıların ek bir uyarı cümlesi göstermesine neden oldu. Yukarıdaki tekliflerin de güvenilir bir sertifika vericiyle gösterileceğini varsayıyorum. Bunun doğrulanması "hızlı kontrol" kapsamımın dışındaydı.
klaus thorn
kaynak
7

Bu konuyu araştırmaya devam ettim, çünkü alt alt alanları da güvenceye almak için aynı şartlara sahibim ve DigiCert'in bir çözümü ile karşılaştım.

Bu sertifikalar da destekleyeceğini söyledi yourdomain.com, *.yourdomain.com, *.*.yourdomain.comvb vb.

Şu anda oldukça pahalı, ancak umut şu ki, diğer sağlayıcılar benzer sertifikalar sunmaya başlayacak ve fiyatları düşürecekler.

F21
kaynak
bu doğru yaklaşım. birden çok (joker karakter) adının desteklendiği bir joker karakter sertifikası
drAlberT
Bu sertifikaya digicert'ten sahibiz. Onu destekliyor, ancak varsayılan olarak değil. Yinelenen bir sertifika oluşturmanız ve sertifikadaki tüm alt alan adlarını belirtmeniz gerekir. Otomatik değil.
L_7337
6

Buradaki tüm cevaplar 2011 tarihli RFC 6125'i dikkate almazsa eski ya da tamamen doğru değildir.

RFC 6125'e göre , en sol kısımda sadece tek bir joker karaktere izin verilir.

Geçerli:

*.sub.domain.tld
*.domain.tld

Geçersiz:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

"Etiket" olarak da adlandırılan bir parça kapalı bir bileşendir, örneğin: *.com(2 etiket) eşleşmiyor label.label.com(3 etiket) - bu, RFC 2818'de zaten tanımlanmıştır.

2011'den önce RFC 2818’de ayar tam olarak net değildi:

Mevcut uygulama teknolojilerinin teknik özellikleri, joker karakterin izin verilen konumu hakkında net veya tutarlı değildir.

Bu, 2011'den itibaren RFC 6125 ile değişti (6.4.3):

Müşteri, joker karakterin en soldaki etiketten başka bir etiket içerdiği (örneğin, çubuk eşleşmiyor. *. Example.net) sunulan bir tanımlayıcıyla eşleşmemelidir.

Daniel W.
kaynak
0

Yapabilecekleriniz * .domain.com ve sonra * .www.domain.com veya * .mail.domain.com gibi bir şeydir. Bir üretim sitesinde *. *. Domain.com adresini hiç görmedim.

Bir joker karakter (* .domain.com) alabilirsiniz, ancak bunun çalışması için alternatif bir konu adı girişi olarak * .www.domain.com'a da ihtiyacınız olacaktır. Bunu teklif ettiğim tek şirketler ssl.com ve digicert. Başkaları olabilir ama emin değilim.

Colt Blake
kaynak
letsencrypt ile joker karakter paraları da verebilirsiniz. Ve birden fazla SAN'a izin veriyorlar. Böylece bir SAN kümesi tanımlayabilirsiniz. Örn -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
parçalanmış
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.