Chứng chỉ SSL Wildcard cho tên miền phụ cấp hai

Tôi muốn biết liệu có chứng chỉ nào hỗ trợ ký tự đại diện kép *.*.example.comkhông? Tôi vừa mới nghe điện thoại với nhà cung cấp SSL hiện tại của tôi (register.com) và cô gái ở đó nói rằng họ không cung cấp bất cứ điều gì như vậy và dù sao cô ấy cũng không nghĩ rằng điều đó là có thể.

Bất cứ ai có thể cho tôi biết nếu điều này là có thể, và nếu các trình duyệt hỗ trợ này?

RFC2818 tuyên bố:

Nếu có nhiều hơn một danh tính của một loại nhất định trong chứng chỉ (ví dụ: nhiều hơn một tên dNSName, một kết quả trùng khớp trong bất kỳ một trong các tập hợp được coi là chấp nhận được.) Tên có thể chứa ký tự đại diện * được coi là khớp với bất kỳ một ký tự nào thành phần tên miền hoặc đoạn thành phần. Ví dụ: * .a.com khớp với foo.a.com nhưng không khớp với bar.foo.a.com. f * .com phù hợp với foo.com nhưng không phải bar.com.

Internet Explorer hành xử theo cách được RFC vạch ra, trong đó mỗi cấp cần chứng chỉ ký tự đại diện riêng. Firefox hài lòng với một * .domain.com duy nhất trong đó * khớp với mọi thứ trước domain.com, bao gồm other.levels.domain.com, nhưng cũng sẽ xử lý các loại *. *. Domain.com.

Vì vậy, để trả lời câu hỏi của bạn: có thể và được các trình duyệt hỗ trợ.

Chỉ cần xác nhận FF và IE 8 sẽ KHÔNG chấp nhận chứng chỉ trong biểu mẫu *.*.example.commặc dù về mặt kỹ thuật có thể tạo ra chúng.

Khi chứng chỉ SSL Wildcard được cấp cho * .domain.com, bạn có thể bảo mật số lượng tên miền phụ không giới hạn của mình trên tên miền chính.

Ví dụ:

• sub1.domain.com
• sub2.domain.com
• sub3.domain.com
• phụ * .domain.com

Nếu chứng chỉ SSL Wildcard được cấp trên * .sub1.domain.com, trong trường hợp đó, bạn có thể bảo mật tất cả các tên miền phụ cấp hai được liệt kê trong sub1.domain.com

Ví dụ:

• aaa.sub1.domain.com
• bbb.sub1.domain.com
• ccc.sub1.domain.com
• ***. sub1.domain.com

Nếu bạn muốn bảo mật số lượng tên miền phụ và tên miền cấp hai có giới hạn, thì bạn có thể chọn SSL đa miền có thể bảo mật tối đa 100 tên miền với một chứng chỉ.

Ví dụ:

• tên miền.com
• sub1.domain.com
• aaa.sub2.domain.com
• domain2.net
• domain3.org

Bạn nên biết yêu cầu thực tế của mình để chọn chứng chỉ SSL.

Điều này có thể đáng giá một vòng thử nghiệm mới với các phiên bản trình duyệt hiện tại.

Kết quả kiểm tra nhanh cá nhân của tôi trong: Firefox 20.0.1 dường như vẫn không hỗ trợ điều này. Nó cho thấy:

Chứng chỉ này chỉ hợp lệ cho *. *. Mydomain.com

... khi lướt tới https://svn.project.mydomain.com .

Internet Explorer 9.0:

Giấy chứng nhận của trang web này đã được thực hiện cho một địa chỉ khác

Ghi chú:

• Cả hai câu dịch từ tiếng Đức sang tiếng Anh, bởi tôi. Có lẽ tôi đã không sử dụng các cụm từ giống như các phiên bản trình duyệt tiếng Anh sẽ hiển thị.
• Tôi đã sử dụng một chứng chỉ tự ký. Điều này khiến các trình duyệt hiển thị một câu cảnh báo bổ sung. Tôi giả định rằng các trích dẫn ở trên cũng sẽ được hiển thị với một tổ chức phát hành chứng chỉ tin cậy. Xác minh điều này nằm ngoài phạm vi "kiểm tra nhanh" của tôi.

Tôi mới thực hiện một số nghiên cứu về vấn đề này vì tôi cũng có những yêu cầu tương tự để bảo mật tên miền phụ cũng như tìm ra giải pháp từ DigiCert.

Giấy chứng nhận này cho biết sẽ hỗ trợ yourdomain.com, *.yourdomain.com, *.*.yourdomain.comvà vân vân.

Hiện tại nó khá là ngon, nhưng hy vọng là các nhà cung cấp khác sẽ bắt đầu cung cấp các chứng chỉ tương tự và giảm giá.

Tất cả các câu trả lời ở đây đã lỗi thời hoặc không hoàn toàn chính xác, không xem xét RFC 6125 từ năm 2011.

Theo RFC 6125 , chỉ một ký tự đại diện duy nhất được cho phép ở phần còn lại nhiều nhất.

Có hiệu lực:

*.sub.domain.tld
*.domain.tld

Không hợp lệ:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Một đoạn, hay còn gọi là "nhãn", là một thành phần đóng, ví dụ: *.com(2 nhãn) không khớp label.label.com(3 nhãn) - điều này đã được xác định trong RFC 2818.

Trước năm 2011 trong RFC 2818, cài đặt không hoàn toàn rõ ràng:

Thông số kỹ thuật cho các công nghệ ứng dụng hiện tại không rõ ràng hoặc nhất quán về vị trí cho phép của ký tự đại diện.

Điều này đã thay đổi với RFC 6125 từ năm 2011 (6.4.3):

Khách hàng KHÔNG NÊN tìm cách khớp với số nhận dạng được trình bày trong đó ký tự đại diện bao gồm một nhãn khác với nhãn ngoài cùng bên trái (ví dụ: không khớp với thanh. * .Val.net).

mặc dù tôi không nhìn vào câu hỏi của bạn, tôi chỉ tình cờ đọc được vài điều về nó vài phút trước:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certert-for-two-levels.php

điều này giải thích rằng bạn không thể sử dụng dấu sao

Biên tập

Thêm một phần của trích dẫn trong trường hợp trang web bị sập hoặc quá dài để đọc

Điều không thể là cố gắng bao gồm cả hai tên miền phụ của mail.xyz.com và photos.xyz.com bằng một ký tự đại diện duy nhất. CA hoặc Tổ chức phát hành chứng chỉ chỉ có thể cung cấp chứng chỉ SSL với một (*). Bạn không thể tạo Yêu cầu ký chứng chỉ giống như vậy . .xyz.com để cố gắng bao gồm nhiều hơn một nhóm tên miền phụ cấp hai.

Lý do tại sao

Lý do không thể có chứng chỉ SSL "ký tự đại diện kép" là vì trình giữ chỗ, dấu hoa thị, chỉ có thể thay thế cho một trường trong tên được gửi cho CA. Rốt cuộc, CA phải xác minh tất cả thông tin và quá nhiều biến trong chứng chỉ sẽ làm giảm tính bảo mật và độ tin cậy mà chứng chỉ cung cấp.

Ngoài ra, và điều này cũng quan trọng đối với người quản lý CNTT và chủ sở hữu trang web, bảo mật nội bộ không thể bị xâm phạm một cách dễ dàng. Hãy nhớ rằng bất kỳ loại sự cố bảo mật nào khi có chứng chỉ SSL có nhiều khả năng xảy ra do vi phạm an ninh nội bộ nơi ai đó có quyền truy cập vào khóa riêng và chứng chỉ có thể thiết lập trang web tên miền phụ thực sự được bảo vệ bởi SSL.

Những gì bạn có thể làm là một cái gì đó như * .domain.com và sau đó * .www.domain.com hoặc * .mail.domain.com. Tôi chưa bao giờ thấy *. *. Domain.com trên một trang web sản xuất.

Bạn có thể nhận được một ký tự đại diện (* .domain.com) nhưng bạn cũng sẽ cần * .www.domain.com làm mục nhập tên chủ đề thay thế để làm việc này. Các công ty duy nhất mà tôi biết cung cấp điều này là ssl.com và digicert. Có thể có những người khác nhưng tôi không chắc chắn.