Dlaczego mój wieloznaczny certyfikat SSL powoduje błąd niedopasowania domeny w subdomenie drugiego poziomu?

22

Mam serwer https://www.groups.example.com- w FireFox pojawia się komunikat „ This Connection is Untrusted” i „szczegóły techniczne”

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

Jakie inne informacje muszę podać, aby rozwiązać ten problem? Właśnie otrzymuję potwierdzenie instalacji, ale jestem w 99% pewien, że to Linux i używa VHOSTS. Zaktualizuje pytanie, gdy tylko zostanie to potwierdzone.

Czy to fakt, że www.groups.example.com ma 2 poziomy subdomen?

Emitentem jest DigiCert

pee2pee
źródło
2
Jestem pewien, że problem stanowią dwa poziomy poddomeny i jestem całkiem pewien, że jest to zduplikowane pytanie - ale w tej chwili nie mogę oprzeć się na pierwotnym pytaniu.
MadHatter obsługuje Monikę
Nie możesz użyć poddomeny części z symbolem wieloznacznym i dopasować. Musisz użyć sieci SAN. Co więcej, mydomain.comto nie to samo, co example.org.
gparent
2
@ rodzicem Zazwyczaj dobrym pomysłem jest przyjrzenie się historii edycji pytania, gdy widzisz takie niedopasowanie. W tym przypadku to ja przegapiłem jeden przypadek, mydomain.comkiedy naprawiałem pocztę. (Podczas mungowania nazw domen należy zawsze używać example.[com|org|net]zamiast wymyślać coś, mydomain.comco faktycznie istnieje, ale nie należy do plakatu.)
Jenny D mówi Przywróć Monikę
1
@JennyD: +1 ode mnie! Kolejna, jeśli mógłbym, kwestia mungowania nazw domen (ale jeszcze lepiej, żeby ich w ogóle nie redagować).
MadHatter obsługuje Monikę
1
@gparent Zdecydowanie zgadzam się, że ludzie nie powinni przede wszystkim używać nazwy domeny. Ale jeśli tak, powinni przynajmniej zrobić to poprawnie.
Jenny D mówi Przywróć Monikę

Odpowiedzi:

47

RFC 2818 w „3.1. Tożsamość serwera” stwierdza, że

Nazwy mogą zawierać znak wieloznaczny, *który uważa się za pasujący do dowolnego pojedynczego komponentu nazwy domeny lub fragmentu komponentu. Np *.a.compasuje foo.a.comale nie bar.foo.a.com.

Więc tak, to fakt, że problem stanowią dwa poziomy poddomen.

Jenny D mówi Przywróć Monikę
źródło
18
Czy ktokolwiek uważa za zabawne, że RFC2818 ignoruje RFC2606 podczas wybierania przykładowej nazwy domeny?
MadHatter obsługuje Monikę
Interesujące jest również to, że chociaż RFC2818 ma charakter informacyjny , proponowany standard RFC7230 odnosi się do niego jako do definicji.
Esa Jokinen