Bir joker karakter SSL sertifikası, hem kök etki alanını hem de alt etki alanlarını güvenceye almalı mı?

Bu soruyu soruyorum, çünkü Comodo bana * .example.com için bir joker karakter sertifikasının da example.com kök alanını güvence altına alacağını söyledi. Dolayısıyla, tek bir sertifika ile hem my.example.com hem de example.com bir tarayıcıdan uyarılmadan güvence altına alınır.

Ancak, bu bana verilen sertifika ile durum böyle değil. Alt etki alanlarım iyi güvenlik altına alındı ​​ve bir hata vermedi, ancak kök etki alanı tarayıcıda tanımlamanın doğrulanamadığını belirterek bir hata veriyor.

Bu sertifikayı diğer benzer senaryolarla karşılaştırdığımda, hatasız çalışan senaryolarda, Konu Alternatif Adının (SAN) hem * .example.com hem de example.com adreslerini listelediğini, oysaki Comodo'dan alınan en yeni sertifikanın yalnızca * listelediğini * görüyorum. Ortak Ad olarak example.com ve Konu Alternatif Adı olarak example.com değil.

Herhangi biri, doğru şekilde güvence altına alınacaksa, kök etki alanının SAN ayrıntılarında listelenmesi gerektiğini onaylayan / netleştiren var mı?

Bunu okuduğumda: http://www.digicert.com/subject-alternative-name.htm SAN, ihtiyaç duyduğum gibi çalışmak için her ikisini de listelemek zorunda görünüyor. Tecrüben ne?

Çok teşekkürler.

SSL uygulamaları arasında joker karakterlerle eşleşmeleri konusunda bir tutarsızlık var, ancak çoğu müşteriyle çalışabilmesi için köke alternatif bir ad olarak ihtiyacınız olacak.

Bir *.example.comsertifika için

• a.example.com geçmeli
• www.example.com geçmeli
• example.com geçmemelisin
• a.b.example.com uygulamaya bağlı olarak geçebilir (ancak büyük olasılıkla değil).

Temel olarak, standartlar, *1 veya daha fazla nokta olmayan karakterle eşleşmesi gerektiğini söylüyor , ancak bazı uygulamalar bir noktaya izin veriyor.

Kurallı cevap RFC 2818’de (TLS’nin üzerinde) olmalıdır :

Eşleştirme, [RFC2459] tarafından belirtilen eşleşme kuralları kullanılarak gerçekleştirilir. Sertifikada belirli bir türde birden fazla kimlik varsa (örneğin, birden fazla dNSName adı varsa, kümedeki herhangi birindeki bir eşleşmenin kabul edilebilir olduğu kabul edilir.) İsimler, herhangi bir eşleştiği kabul edilen joker karakter * içerebilir etki alanı adı bileşeni veya bileşen parçası. Örneğin, *.a.comfoo.a.com ile eşleşir ancak bar.foo.a.com ile eşleşmez. f*.comfoo.com ile eşleşir, ancak bar.com ile eşleşmez.

RFC 2459 diyor ki:

• Bir "*" joker karakter MAY, sertifikadaki en soldaki isim bileşeni olarak kullanılabilir. Örneğin, bir *.example.com.example.com, foo.example.com vb. İle eşleşir, ancak example.com ile eşleşmez.

Example.com, www.example.com ve foo.example.com için çalışmak için bir sertifikaya ihtiyacınız varsa, "example.com" ve "* .example.com" a sahip olmanız için konuAltNames ile bir sertifikaya ihtiyacınız vardır (veya örnek .com ve eşleştirmeniz gerekebilecek diğer tüm isimler).

Haklısınız, kök etki alanının doğrulanması için alternatif bir ad olması gerekir.

Şimdiye kadar kullandığım her SSL sağlayıcısı, otomatik olarak bir joker SSL sertifikasına Konu Alternatif Adı olarak kök etki alanını otomatik olarak ekleyeceği için DOMAIN.COM bir * .DOMAIN.COM joker sertifikası için otomatik olarak çalışacaktır.

Joker karakter sertifikaları * .example.com için ideal bir şekilde oluşturulmuştur Alt etki alanlarınızı ve etki alanlarınızı bu sertifika ile güvence altına almak için tek yapmanız gereken, aynı sertifikayı bu etki alanlarına işaret eden sunuculara yüklemek.

Örneğin, * .example.com one.example.com - sunucu 1 example.com - sunucu 2 için joker sertifikaya sahipsiniz

Bu sertifikayı sunucu 1 ve sunucu 2'ye yüklemeniz gerekir.