Nazwa zwykła SSL - czy można ją nazwać czymkolwiek?

34

Zastanawiałem się tylko, czy wieloznaczny certyfikat SSL musi koniecznie mieć wspólną nazwę, która zawiera nazwę domeny witryn wymagających certyfikatu SSL.

Na przykład dla następujących:

Nazwa domeny: testdomain.com

Dotacje:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Czy koniecznie potrzebuję mojego certyfikatu wieloznacznego, aby mieć wspólną nazwę *.testdomain.com?

gra słów
źródło
serverfault.com może być lepszym miejscem na to pytanie.

Odpowiedzi:

38

Tak, Twoja nazwa pospolita powinna być * .twojadomena.com dla certyfikatu wieloznacznego.

Zasadniczo nazwa zwykła określa domenę, dla której twój certyfikat jest dobry, więc musi określać rzeczywistą domenę.

Wyjaśnienie: nie powinna „zawierać” nazwy domeny witryn, powinna być domeną witryn. Zgaduję, że nie ma różnicy w twoim pytaniu, chciałem tylko wyjaśnić, na wypadek, gdyby istniało błędne wyobrażenie o tym, jaka powinna być domena lub do czego będzie używany certyfikat.

Daniel Magliola
źródło
4

W rzeczywistości należy użyć dnsNamewpisów w subjectAltNamesekcji certyfikatu, aby określić nazwy FQDN, a nie część CN nazwy subject. Korzystanie z subjecttego celu jest przestarzałe od czasu opublikowania RFC 2818 w 2000 roku. Cytując sekcję 3.1 :

Jeśli istnieje rozszerzenie subjectAltName typu dNSName, MUSI to być użyte jako tożsamość. W przeciwnym razie MUSI być użyte (najbardziej szczegółowe) pole Nazwa zwyczajowa w polu Temat certyfikatu. Chociaż stosowanie nazwy zwyczajowej jest istniejącą praktyką, jest ona przestarzała i zachęca się urzędy certyfikacji do korzystania z nazwy dNSName.

Jedyny przypadek, w którym zawartość subjectsą istotne w kontekście weryfikacji certyfikatu serwera nie jest jeśli nie jest dnsNamewliczone w subjectAltName, sprawę, która została wycofana w ciągu ostatnich 17 lat w chwili pisania.

Użycie certyfikatów wieloznacznych jest przestarzałe, jak pokazano w sekcji 7.2 RFC 6125 :

Dokument ten stwierdza, że ​​znak wieloznaczny „*” NIE POWINIEN być uwzględniany w prezentowanych identyfikatorach, ale MOŻE być sprawdzany przez klientów aplikacji (głównie ze względu na kompatybilność wsteczną z wdrożoną infrastrukturą).

Używanie tego samego klucza prywatnego do kilku usług jest zwykle uważane za złą praktykę. Jeśli jedna z usług zostanie naruszona, komunikacja z innymi usługami będzie zagrożona i będziesz musiał wymienić klucz (i certyfikat) dla wszystkich usług.

RFC 6125 sugeruję jako dobre źródło informacji na ten temat.

Erwan Legrand
źródło
„Podobnie jak certyfikaty wieloznaczne”: czy mógłbyś opracować? dnsNamemoże zawierać domenę wieloznaczną. Co powinno być subjectw takim przypadku?
WoJ 27.04.17
Zobacz sekcje 1.5 i 7.2 RFC 6125 . Tak długo, jak subjectAltNamezawiera co najmniej jeden dnsName, zawartość nie subjectma znaczenia w kontekście weryfikacji certyfikatu.
Erwan Legrand
@ WoJ Zredagowałem swoją odpowiedź. Mam nadzieję, że teraz wszystko jest wyraźniejsze.
Erwan Legrand
3

Tak, certyfikat SSL Wildcard jest najlepszym rozwiązaniem zgodnie z Twoimi wymaganiami. Za pomocą certyfikatu Wildcard będziesz mógł chronić informacje o odwiedzających. Nie ma znaczenia, która strona witryny zostanie przesłana. Certyfikat Wildcard zabezpiecza nieograniczoną liczbę subdomen, które mają tę samą nazwę domeny.

Zainstalowanie tego samego certyfikatu wieloznacznego we wszystkich subdomenach i serwerach wiąże się z wbudowanym ryzykiem: w przypadku naruszenia bezpieczeństwa jednego serwera lub subdomeny, wszystkie subdomeny mogą zostać jednakowo zagrożone. Upewnij się, że Twoja witryna jest chroniona wieloma poziomami ochrony przed wszelkimi presjami zewnętrznymi i wewnętrznymi.

Jay Dan
źródło