Czy wieloznaczny certyfikat SSL powinien zabezpieczać zarówno domenę główną, jak i subdomeny?

81

Zadaję to pytanie, ponieważ Comodo mówi mi, że certyfikat wieloznaczny dla * .example.com zabezpieczy także domenę główną example.com. Tak więc za pomocą jednego certyfikatu zarówno my.example.com, jak i example.com są zabezpieczone bez ostrzeżenia z przeglądarki.

Nie dotyczy to jednak certyfikatu, który dostałem. Moje subdomeny są dobrze zabezpieczone i nie powodują błędów, ale domena główna powoduje błąd w przeglądarce, mówiąc, że nie można zweryfikować tożsamości.

Kiedy porównuję ten certyfikat do innych podobnych scenariuszy, widzę, że w scenariuszach, które działają bezbłędnie, alternatywna nazwa podmiotu (SAN) zawiera zarówno * .example.com, jak i example.com, podczas gdy ostatni certyfikat z Comodo zawiera tylko *. przyklad.com jako nazwa pospolita, a NIE przyklad.com jako nazwa alternatywna podmiotu.

Czy ktoś może potwierdzić / wyjaśnić, że domena główna powinna być wymieniona w szczegółach SAN, jeśli ma być również odpowiednio zabezpieczona?

Kiedy to czytam: http://www.digicert.com/subject-alternative-name.htm Wygląda na to, że SAN musi wymieniać oba, aby działać tak, jak powinienem. Jakie masz wrażenia

Dziękuję bardzo.

josswinn
źródło

Odpowiedzi:

72

Istnieje pewna niespójność między implementacjami SSL w zakresie sposobu dopasowania symboli wieloznacznych, jednak będziesz potrzebować katalogu głównego jako alternatywnej nazwy, aby działał z większością klientów.

Dla *.example.comcertyfikatu

  • a.example.com powinien przejść
  • www.example.com powinien przejść
  • example.com nie powinien przejść
  • a.b.example.com może przejść w zależności od implementacji (ale prawdopodobnie nie).

Zasadniczo standardy mówią, że *powinien pasować 1 lub więcej znaków bez kropek, ale niektóre implementacje dopuszczają kropkę.

Odpowiedź kanoniczna powinna być w RFC 2818 (HTTP Over TLS) :

Dopasowywanie odbywa się przy użyciu reguł dopasowania określonych przez [RFC2459]. Jeśli w certyfikacie występuje więcej niż jedna tożsamość danego typu (np. Więcej niż jedna nazwa dNSName, dopasowanie w dowolnym zestawie jest uważane za dopuszczalne). Nazwy mogą zawierać znak wieloznaczny *, który uważa się za pasujący do dowolnego pojedynczego komponent nazwy domeny lub fragment komponentu. Np. *.a.comPasuje do foo.a.com, ale nie do bar.foo.a.com. f*.compasuje do foo.com, ale nie do bar.com.

RFC 2459 mówi:

  • Symbole wieloznaczne „*” MOGĄ być użyte jako najbardziej lewy komponent nazwy w certyfikacie. Na przykład *.example.compasuje do a.example.com, foo.example.com itp., Ale nie pasuje do example.com.

Jeśli potrzebujesz certyfikatu do pracy na przykład.com, www.example.com i foo.example.com, potrzebujesz certyfikatu z podmiotemAltNames, aby mieć „example.com” i „* .example.com” (lub przykład .com i wszystkie inne nazwy, które mogą wymagać dopasowania).

freiheit
źródło
13

Masz rację, domena główna musi być alternatywną nazwą, aby mogła się sprawdzić.

Shane Madden
źródło
6

Każdy dostawca SSL, z którego kiedykolwiek korzystałem, automatycznie doda domenę główną jako alternatywną nazwę podmiotu do certyfikatu wieloznacznego SSL, więc DOMAIN.COM będzie działał automatycznie dla certyfikatu wieloznacznego * .DOMAIN.COM.

użytkownik2001798
źródło
8
Nie dotyczy to Menedżera certyfikatów AWS na dzień 2017-09-20.
pho3nixf1re
Nie ma „głównej” domeny dla certyfikatu SAN, który mógłby zabezpieczyć wiele domen głównych.
Jez
-3

Certyfikaty wieloznaczne są generowane idealnie dla * .example.com Aby zabezpieczyć swoje subdomeny i domeny za pomocą tego certyfikatu, wystarczy zainstalować ten sam certyfikat na serwerach wskazujących te domeny.

Na przykład - masz certyfikat wieloznaczny dla * .example.com one.example.com - serwer 1 example.com - serwer 2

musisz zainstalować ten certyfikat na serwerze 1 i serwerze 2.

wykwalifikowani
źródło