ký tự đại diện ssl trên tên miền phụ [đã đóng]

146

chúng tôi có chứng chỉ ssl ký tự đại diện cho * .domain.com và có một trang web với sub1.sub2.domain.com

safari 4.0.4 trên MacOsx xuất hiện lỗi chứng chỉ (có lẽ là do giải thích ký tự đại diện), trong khi safari 4 trên windows thì không.

Ngoài ra, hành vi eg8 được trộn lẫn tốt nhất, một số eg8 không hiển thị lỗi chứng chỉ và một số thì không.

Điều gì gây ra hành vi kỳ lạ này trên Safari và IE?

ssl-certificate wildcard-subdomain

— porto alet
nguồn

chỉ nhận ra vấn đề này sau khi mua chứng chỉ 2 năm mới ...

— Rafa

Câu trả lời:

192

Chứng chỉ SSL ký tự đại diện cho * .example.net sẽ khớp với sub.example.net nhưng không phải là sub.sub.example.net .

Từ RFC 2818 :

Việc khớp được thực hiện bằng các quy tắc khớp được chỉ định bởi RFC2459 . Nếu có nhiều hơn một danh tính của một loại nhất định có trong chứng chỉ (ví dụ: nhiều hơn một tên dNSName, thì một kết quả trùng khớp trong bất kỳ một tập hợp nào được coi là chấp nhận được.) Tên có thể chứa ký tự đại diện *được coi là khớp với bất kỳ tên miền nào tên thành phần hoặc đoạn thành phần. Ví dụ, *.a.comtrận đấu foo.a.comnhưng không bar.foo.a.com. f*.comphù hợp foo.comnhưng không bar.com.

— Elias Torres Arroyo
nguồn

@Chris Tôi không nghĩ vậy, có nhiều yếu tố kỹ thuật hạn chế quy tắc đó và buộc các cơ quan Chứng nhận phải phát triển chứng chỉ bảo mật tương ứng.

@sophie các yếu tố kỹ thuật khác nhau, như ai đó nhận ra rằng việc bán chứng chỉ vô cực có lợi hơn so với việc cho phép 1 chứng chỉ bao gồm mọi kịch bản duy nhất đến vô cùng.

— Chris Marisic

Xem blackhat.com/presentations/bh-dc-09/Marlinspike/ nam slide 91 để biết mối đe dọa bảo mật có thể có với chứng chỉ ký tự đại diện. Đồng thời xem media.blackhat.com/bh-ad-10/Hansen/ trên slide 38.

— Carl

@ user1602478: các yếu tố kỹ thuật đó là gì?

— iconoclast

bạn có thể *.*.example.comphải bảo mật tên miền phụ cấp một và cấp hai không?

— Shane Rowatt

Nếu bạn cần chứng chỉ ký tự đại diện có chứa các trang web * .domain.com và cũng hoạt động với sub1.sub2.domain.com hoặc một tên miền khác như * .domain2.com, bạn có thể giải quyết điều đó bằng một chứng chỉ ký tự đại diện duy nhất với chủ đề được gọi là chủ đề phần mở rộng tên thay thế (SAN) cho mỗi tên miền phụ khác. Chứng chỉ SAN không chỉ dành cho nhiều tên máy chủ cụ thể, nó còn có thể được tạo cho các mục nhập ký tự đại diện.

Ví dụ: * .domain.com, sub1.sub2.domain.com và * .domain2.com sẽ có Tên chung là * .domain.com, sau đó bạn sẽ đính kèm một tên thay thế chủ đề của cả * .domain2.com và * .sub2.domain.com. Điều này có thể phụ thuộc vào Cơ quan cấp chứng chỉ về cách họ sẽ tính phí cho bạn (hoặc không) cho chứng chỉ, nhưng có một số nơi cung cấp dịch vụ này. Ngoài ra, SAN là hỗ trợ khá phổ biến trong không gian trình duyệt web. Ví dụ thực tế tốt nhất về việc sử dụng này, đó là chứng chỉ SSL của Google. Hãy mở google và xem chứng chỉ SSL của nó, bạn sẽ thấy nó hoạt động cho * .google.com, * .youtube.com, * .gmail.com và nhiều hơn nữa nơi chúng được liệt kê dưới dạng tên thay thế chủ đề.

— Cướp
nguồn

Ví dụ về các CA sẽ cấp chứng chỉ như vậy là gì?

— Arto Bendiken

Vì vậy, có thể có được một chứng chỉ cho *.DOMAIN.COMSAN có *.*.DOMAIN.COM(và có thể *.*.*.DOMAIN.COM) để bao gồm các tên miền phụ và tên miền phụ phụ không?

— Simon East

@SimonEast không thể.

— Nick

Đây phải là câu trả lời được chấp nhận. @Nick, truy cập sslshopper.com/ssl-checker.html#hostname=google.com và xem phần SAN

— Nehal J Wani

@NehalJWani tôi nên tìm gì?

— Nick

Ký tự đại diện chỉ được áp dụng cho phần đầu tiên (từ bên trái) của tên miền bạn. Vì vậy, bạn sẽ cần chứng chỉ cho * .sub2.domain.com

Nếu bạn có nghĩa là bạn có sub1.domain.com và sub2.domain.com, thì nó sẽ hoạt động.

— JAG
nguồn