Chciałbym wiedzieć, czy jakieś certyfikaty obsługują podwójne symbole wieloznaczne, takie jak *.*.example.com
? Właśnie rozmawiałem przez telefon z moim obecnym dostawcą SSL (register.com), a tamta dziewczyna powiedziała, że nie oferują czegoś takiego i że nie sądzi, że to możliwe.
Czy ktoś może mi powiedzieć, czy jest to możliwe i czy przeglądarki to obsługują?
ssl
subdomain
certificate
wildcard
Aleksander Blomskøld
źródło
źródło
*.*.example.com
od 2015 r. Nie mam pojęcia, dlaczego.*.a.a.com
,*.b.a.com
,*.c.a.com
, ... ręcznie?.
do oddzielania w nazwie swojej domeny elementów, które należą do siebie - domeny dotyczą domen. Dlaczego miałbyś potrzebowaćphpmyadmin.serverX.domain.com
, kiedyphpmyadmin-serverX.domain.com
jest semantycznie dokładniejszy i łatwiejszy w obsłudze pod względem DNS i TLS.Odpowiedzi:
RFC2818 stwierdza:
Internet Explorer zachowuje się w sposób opisany w RFC, gdzie każdy poziom potrzebuje własnego certyfikatu z symbolami wieloznacznymi. Firefox jest zadowolony z pojedynczej * .domain.com, w której * pasuje do wszystkiego przed domeną.com, w tym other.levels.domain.com, ale obsługuje również typy *. *. Domain.com.
Tak więc, aby odpowiedzieć na twoje pytanie: jest to możliwe i obsługiwane przez przeglądarki.
źródło
SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
sub1.sub2.mydomain.com
za pomocą*.mydomain.com
certyfikatu, mimo że certyfikat jest ważnysub2.mydomain.com
. Tak więc, jak mogę najlepiej powiedzieć, ta odpowiedź jest rzeczywiście błędna, przynajmniej dzisiaj. Biorąc pod uwagę, że ktoś opublikował komentarz, że nie może odtworzyć zachowania w dniu, w którym odpowiedź została opublikowana , jestem sceptyczny co do tego, czy kiedykolwiek była poprawna.Aby potwierdzić, FF i IE 8 NIE będą akceptować certyfikatów w formularzu,
*.*.example.com
chociaż technicznie możliwe jest ich utworzenie.źródło
*.a.a.com
,*.b.a.com
,*.c.a.com
ręcznie?Po wydaniu certyfikatu SSL Wildcard dla domeny * .domain.com możesz zabezpieczyć nieograniczoną liczbę subdomen w domenie głównej.
Na przykład:
Jeśli certyfikat SSL Wildcard jest wydawany na * .sub1.domain.com, w takim przypadku możesz zabezpieczyć wszystkie subdomeny drugiego poziomu wymienione w sub1.domain.com
Na przykład:
Jeśli chcesz zabezpieczyć ograniczoną liczbę subdomen i domen drugiego poziomu, możesz wybrać wielodomenowy protokół SSL, który może zabezpieczyć do 100 nazw domen za pomocą jednego certyfikatu.
Na przykład:
Powinieneś znać swoje aktualne wymagania, aby wybrać certyfikat SSL.
źródło
Może to być warte nowej rundy testów z obecnymi wersjami przeglądarki.
Moje osobiste szybkie sprawdzenie powoduje: Firefox 20.0.1 nadal nie obsługuje tego. To pokazuje:
... podczas surfowania na https://svn.project.mydomain.com .
Internet Explorer 9.0:
Uwagi:
źródło
Właśnie przeprowadzałem badania na ten temat, ponieważ mam te same wymagania, aby zabezpieczyć subdomeny, i znalazłem rozwiązanie od DigiCert.
Te certyfikaty mówi, że będzie wspierać
yourdomain.com
,*.yourdomain.com
,*.*.yourdomain.com
i tak dalej.Obecnie jest to dość drogie, ale mamy nadzieję, że inni dostawcy zaczną oferować podobne certyfikaty i obniżą ceny.
źródło
Wszystkie odpowiedzi tutaj są nieaktualne lub nie są w pełni poprawne, nie biorąc pod uwagę RFC 6125 z 2011 roku.
Według RFC 6125 tylko jeden symbol wieloznaczny jest dozwolony w najbardziej lewym fragmencie.
Ważny:
Nieważny:
Fragment, zwany także „etykietą”, jest składnikiem zamkniętym, np .:
*.com
(2 etykiety) nie pasujelabel.label.com
(3 etykiety) - zostało to już zdefiniowane w RFC 2818.Przed 2011 r. W RFC 2818 ustawienie nie było w pełni jasne:
Zmieniło się to w przypadku RFC 6125 od 2011 r. (6.4.3):
źródło
chociaż nie zastanawiam się nad twoim pytaniem, akurat przed chwilą coś o tym przeczytałem:
https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php
to wyjaśnia, że nie można użyć podwójnej gwiazdki
Edytować
Dodaj część cytatu na wypadek, gdyby strona uległa awarii lub jest za długa, aby ją przeczytać
źródło
Możesz zrobić coś takiego jak * .domain.com, a następnie * .www.domain.com lub * .mail.domain.com. Nigdy nie widziałem *. *. Domain.com w witrynie produkcyjnej.
Możesz otrzymać symbol wieloznaczny (* .domain.com), ale będziesz także potrzebować * .www.domain.com jako alternatywnego wpisu nazwy podmiotu, aby to zadziałało. Jedyne znane mi firmy to ssl.com i digicert. Mogą być inni, ale nie jestem pewien.
źródło
-d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com
.