Certyfikat SSL wieloznaczny dla subdomeny drugiego poziomu

93

Chciałbym wiedzieć, czy jakieś certyfikaty obsługują podwójne symbole wieloznaczne, takie jak *.*.example.com? Właśnie rozmawiałem przez telefon z moim obecnym dostawcą SSL (register.com), a tamta dziewczyna powiedziała, że ​​nie oferują czegoś takiego i że nie sądzi, że to możliwe.

Czy ktoś może mi powiedzieć, czy jest to możliwe i czy przeglądarki to obsługują?

Aleksander Blomskøld
źródło
10
Do Twojej wiadomości dla przyszłych użytkowników żadna przeglądarka nie obsługuje podwójnego certyfikatu z symbolami wieloznacznymi *.*.example.comod 2015 r. Nie mam pojęcia, dlaczego.
Mahn,
@Mahn Wtedy masz napisać *.a.a.com, *.b.a.com, *.c.a.com, ... ręcznie?
William
1
@LiamWilliam najwyraźniej do tej pory nie znalazłem innych kombinacji, które lubią przeglądarki. To ból.
Mahn
1
@William tak, ale z drugiej strony nie używaj .do oddzielania w nazwie swojej domeny elementów, które należą do siebie - domeny dotyczą domen. Dlaczego miałbyś potrzebować phpmyadmin.serverX.domain.com, kiedy phpmyadmin-serverX.domain.comjest semantycznie dokładniejszy i łatwiejszy w obsłudze pod względem DNS i TLS.
Daniel W.,

Odpowiedzi:

52

RFC2818 stwierdza:

Jeśli w certyfikacie występuje więcej niż jedna tożsamość danego typu (np. Więcej niż jedna nazwa dNSName, dopasowanie w dowolnym zestawie jest uważane za dopuszczalne). Nazwy mogą zawierać znak wieloznaczny *, który uważa się za pasujący do dowolnego pojedynczego komponent nazwy domeny lub fragment komponentu. Np. * .A.com pasuje do foo.a.com, ale nie do bar.foo.a.com. f * .com odpowiada foo.com, ale nie bar.com.

Internet Explorer zachowuje się w sposób opisany w RFC, gdzie każdy poziom potrzebuje własnego certyfikatu z symbolami wieloznacznymi. Firefox jest zadowolony z pojedynczej * .domain.com, w której * pasuje do wszystkiego przed domeną.com, w tym other.levels.domain.com, ale obsługuje również typy *. *. Domain.com.

Tak więc, aby odpowiedzieć na twoje pytanie: jest to możliwe i obsługiwane przez przeglądarki.

Alex
źródło
5
Dziękuję Ci! Testy FF 3.5.7 dziś rano wykazały, że jest on teraz zgodny z RFC w taki sam sposób, jak IE. Odrzucił mój certyfikat .example.com dla foo.bar.example.com. Tak więc, aby wyjaśnić wszystko, czego potrzebuję, to kolejny certyfikat wieloznaczny z *. .example.com jako nazwa pospolita?
7
Właśnie przetestowałem w FF 3.5 i IE 8 i żadna z nich nie zaakceptuje certyfikatu . .example.com. Myślę, że jedynym rozwiązaniem jest użycie wielu certyfikatów wieloznacznych.
Robert
9
Kto napisał ten standard? To jest bezwartościowe. Także strata pieniędzy, jeśli mnie o to poprosisz. Co to chroni?
Brent Pabst
6
Jeśli podwójne symbole wieloznaczne powodują problemy, czy działają określone subdomeny wokół symboli wieloznacznych? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, właśnie przetestowałem, a Firefox pokazuje mi stronę Twoje połączenie nie jest bezpieczne podczas uzyskiwania dostępu sub1.sub2.mydomain.comza pomocą *.mydomain.comcertyfikatu, mimo że certyfikat jest ważny sub2.mydomain.com. Tak więc, jak mogę najlepiej powiedzieć, ta odpowiedź jest rzeczywiście błędna, przynajmniej dzisiaj. Biorąc pod uwagę, że ktoś opublikował komentarz, że nie może odtworzyć zachowania w dniu, w którym odpowiedź została opublikowana , jestem sceptyczny co do tego, czy kiedykolwiek była poprawna.
Mark Amery
20

Aby potwierdzić, FF i IE 8 NIE będą akceptować certyfikatów w formularzu, *.*.example.comchociaż technicznie możliwe jest ich utworzenie.


źródło
2
Wtedy nie trzeba pisać *.a.a.com, *.b.a.com, *.c.a.comręcznie?
William
2
@William tak myślę. To jest naprawdę niefortunne.
Franklin Yu,
17

Po wydaniu certyfikatu SSL Wildcard dla domeny * .domain.com możesz zabezpieczyć nieograniczoną liczbę subdomen w domenie głównej.

Na przykład:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domena.com

Jeśli certyfikat SSL Wildcard jest wydawany na * .sub1.domain.com, w takim przypadku możesz zabezpieczyć wszystkie subdomeny drugiego poziomu wymienione w sub1.domain.com

Na przykład:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

Jeśli chcesz zabezpieczyć ograniczoną liczbę subdomen i domen drugiego poziomu, możesz wybrać wielodomenowy protokół SSL, który może zabezpieczyć do 100 nazw domen za pomocą jednego certyfikatu.

Na przykład:

  • domena.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domena2.net
  • domena3.org

Powinieneś znać swoje aktualne wymagania, aby wybrać certyfikat SSL.

Jason Parms
źródło
1
To dobre zrozumienie, ale nie odpowiada na pytanie. Wspomniał pan, ale nie wszystkie kombinacje jednej PO poprosił o ( . .Domena.com).
Daniel W.
8

Może to być warte nowej rundy testów z obecnymi wersjami przeglądarki.

Moje osobiste szybkie sprawdzenie powoduje: Firefox 20.0.1 nadal nie obsługuje tego. To pokazuje:

Ten certyfikat jest ważny tylko na *. *. Mydomain.com

... podczas surfowania na https://svn.project.mydomain.com .

Internet Explorer 9.0:

Certyfikat tej strony został sporządzony na inny adres

Uwagi:

  • Oba stwierdzenia przetłumaczone przeze mnie z niemieckiego na angielski. Prawdopodobnie nie użyłem tych samych zwrotów, jakie pokazywałyby angielskie wersje przeglądarki.
  • Użyłem samopodpisanego certyfikatu. Co spowodowało, że przeglądarki wyświetlały dodatkowe zdanie ostrzegawcze. Zakładam, że powyższe cytaty byłyby również wyświetlane z zaufanym wystawcą certyfikatu. Sprawdzenie, czy było to poza zakresem mojej „szybkiej kontroli”.
Klaus Cierń
źródło
7

Właśnie przeprowadzałem badania na ten temat, ponieważ mam te same wymagania, aby zabezpieczyć subdomeny, i znalazłem rozwiązanie od DigiCert.

Te certyfikaty mówi, że będzie wspierać yourdomain.com, *.yourdomain.com, *.*.yourdomain.comi tak dalej.

Obecnie jest to dość drogie, ale mamy nadzieję, że inni dostawcy zaczną oferować podobne certyfikaty i obniżą ceny.

F21
źródło
to jest właściwe podejście. znak wieloznaczny obsługujący wiele nazw (symboli wieloznacznych)
drAlberT
Mamy ten certyfikat od digicert. Obsługuje to, ale nie domyślnie. Musisz utworzyć duplikat certyfikatu i podać wszystkie subdomeny w certyfikacie. To nie jest automatyczne.
L_7337
7

Wszystkie odpowiedzi tutaj są nieaktualne lub nie są w pełni poprawne, nie biorąc pod uwagę RFC 6125 z 2011 roku.

Według RFC 6125 tylko jeden symbol wieloznaczny jest dozwolony w najbardziej lewym fragmencie.

Ważny:

*.sub.domain.tld
*.domain.tld

Nieważny:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Fragment, zwany także „etykietą”, jest składnikiem zamkniętym, np .: *.com(2 etykiety) nie pasuje label.label.com(3 etykiety) - zostało to już zdefiniowane w RFC 2818.

Przed 2011 r. W RFC 2818 ustawienie nie było w pełni jasne:

Specyfikacje istniejących technologii aplikacji nie są jasne ani spójne co do dopuszczalnej lokalizacji znaku wieloznacznego.

Zmieniło się to w przypadku RFC 6125 od 2011 r. (6.4.3):

Klient NIE POWINIEN próbować dopasować prezentowanego identyfikatora, w którym znak wieloznaczny zawiera etykietę inną niż etykieta znajdująca się najdalej z lewej strony (np. Nie pasuje do paska. *. Example.net).

Daniel W.
źródło
2

chociaż nie zastanawiam się nad twoim pytaniem, akurat przed chwilą coś o tym przeczytałem:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

to wyjaśnia, że ​​nie można użyć podwójnej gwiazdki


Edytować

Dodaj część cytatu na wypadek, gdyby strona uległa awarii lub jest za długa, aby ją przeczytać

To, co nie jest możliwe, to próba pokrycia zarówno subdomen poczty mail.xyz.com, jak i photos.xyz.com za pomocą jednego symbolu wieloznacznego. Urząd certyfikacji lub urząd certyfikacji może dostarczyć certyfikat SSL tylko z jednym (*). Nie można wygenerować żądania podpisania certyfikatu, które wyglądałoby . .xyz.com, aby spróbować objąć więcej niż jedną grupę subdomen drugiego poziomu.

Powód dlaczego

Powodem, dla którego nie ma certyfikatu SSL „podwójna karta wieloznaczna”, jest to, że symbol zastępczy, gwiazdka, może zastąpić tylko jedno pole w nazwie przesłanej do urzędu certyfikacji. W końcu urząd certyfikacji musi zweryfikować wszystkie informacje, a zbyt wiele zmiennych w certyfikacie obniżyłoby bezpieczeństwo i pewność zapewnione przez certyfikat.

Ponadto, co jest ważne także dla menedżerów IT i właścicieli witryn, bezpieczeństwo wewnętrzne nie może być tak łatwo naruszone. Należy pamiętać, że wszelkie problemy z bezpieczeństwem po wdrożeniu certyfikatu SSL są znacznie bardziej prawdopodobne z wewnętrznego naruszenia bezpieczeństwa, w którym osoba mająca dostęp do klucza prywatnego i certyfikatu może założyć stronę internetową poddomeny, która jest faktycznie objęta SSL.

deadManN
źródło
1
Muszę zauważyć, że wytyczne dotyczące odpowiedzi wymagają cytowania zasadniczych części artykułu w treści odpowiedzi. Ponieważ ten link może z czasem ulec zmianie lub artykuł może zostać usunięty. W przeciwnym razie nie można tego uznać za odpowiedź.
sr9yar
0

Możesz zrobić coś takiego jak * .domain.com, a następnie * .www.domain.com lub * .mail.domain.com. Nigdy nie widziałem *. *. Domain.com w witrynie produkcyjnej.

Możesz otrzymać symbol wieloznaczny (* .domain.com), ale będziesz także potrzebować * .www.domain.com jako alternatywnego wpisu nazwy podmiotu, aby to zadziałało. Jedyne znane mi firmy to ssl.com i digicert. Mogą być inni, ale nie jestem pewien.

Colt Blake
źródło
z letsencrypt możesz także wydawać certyfikaty symboli wieloznacznych. I pozwalają na wiele SAN. Możesz więc zdefiniować zestaw SAN. Np -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality