Zastanawiałem się tylko, czy wieloznaczny certyfikat SSL musi koniecznie mieć wspólną nazwę, która zawiera nazwę domeny witryn wymagających certyfikatu SSL.
Na przykład dla następujących:
Nazwa domeny: testdomain.com
Dotacje:
- www.testdomain.com
- mobile.testdomain.com
- mytestenvironment.testdomain.com
Czy koniecznie potrzebuję mojego certyfikatu wieloznacznego, aby mieć wspólną nazwę *.testdomain.com
?
ssl-certificate
gra słów
źródło
źródło
Odpowiedzi:
Tak, Twoja nazwa pospolita powinna być * .twojadomena.com dla certyfikatu wieloznacznego.
Zasadniczo nazwa zwykła określa domenę, dla której twój certyfikat jest dobry, więc musi określać rzeczywistą domenę.
Wyjaśnienie: nie powinna „zawierać” nazwy domeny witryn, powinna być domeną witryn. Zgaduję, że nie ma różnicy w twoim pytaniu, chciałem tylko wyjaśnić, na wypadek, gdyby istniało błędne wyobrażenie o tym, jaka powinna być domena lub do czego będzie używany certyfikat.
źródło
W rzeczywistości należy użyć
dnsName
wpisów wsubjectAltName
sekcji certyfikatu, aby określić nazwy FQDN, a nie część CN nazwysubject
. Korzystanie zsubject
tego celu jest przestarzałe od czasu opublikowania RFC 2818 w 2000 roku. Cytując sekcję 3.1 :Jedyny przypadek, w którym zawartość
subject
są istotne w kontekście weryfikacji certyfikatu serwera nie jest jeśli nie jestdnsName
wliczone wsubjectAltName
, sprawę, która została wycofana w ciągu ostatnich 17 lat w chwili pisania.Użycie certyfikatów wieloznacznych jest przestarzałe, jak pokazano w sekcji 7.2 RFC 6125 :
Używanie tego samego klucza prywatnego do kilku usług jest zwykle uważane za złą praktykę. Jeśli jedna z usług zostanie naruszona, komunikacja z innymi usługami będzie zagrożona i będziesz musiał wymienić klucz (i certyfikat) dla wszystkich usług.
RFC 6125 sugeruję jako dobre źródło informacji na ten temat.
źródło
dnsName
może zawierać domenę wieloznaczną. Co powinno byćsubject
w takim przypadku?subjectAltName
zawiera co najmniej jedendnsName
, zawartość niesubject
ma znaczenia w kontekście weryfikacji certyfikatu.Tak, certyfikat SSL Wildcard jest najlepszym rozwiązaniem zgodnie z Twoimi wymaganiami. Za pomocą certyfikatu Wildcard będziesz mógł chronić informacje o odwiedzających. Nie ma znaczenia, która strona witryny zostanie przesłana. Certyfikat Wildcard zabezpiecza nieograniczoną liczbę subdomen, które mają tę samą nazwę domeny.
Zainstalowanie tego samego certyfikatu wieloznacznego we wszystkich subdomenach i serwerach wiąże się z wbudowanym ryzykiem: w przypadku naruszenia bezpieczeństwa jednego serwera lub subdomeny, wszystkie subdomeny mogą zostać jednakowo zagrożone. Upewnij się, że Twoja witryna jest chroniona wieloma poziomami ochrony przed wszelkimi presjami zewnętrznymi i wewnętrznymi.
źródło