Chứng chỉ SSL Wildcard cho tên miền phụ cấp hai


93

Tôi muốn biết liệu có chứng chỉ nào hỗ trợ ký tự đại diện kép *.*.example.comkhông? Tôi vừa mới nghe điện thoại với nhà cung cấp SSL hiện tại của tôi (register.com) và cô gái ở đó nói rằng họ không cung cấp bất cứ điều gì như vậy và dù sao cô ấy cũng không nghĩ rằng điều đó là có thể.

Bất cứ ai có thể cho tôi biết nếu điều này là có thể, và nếu các trình duyệt hỗ trợ này?


10
FYI cho khách truy cập trong tương lai, không có trình duyệt nào hỗ trợ chứng chỉ ký tự đại diện kép *.*.example.comvào năm 2015. Không biết tại sao.
Mahn

@Mahn Sau đó làm bạn phải viết *.a.a.com, *.b.a.com, *.c.a.com, ... bằng tay?
William

1
@LiamWilliam rõ ràng, tôi chưa tìm thấy các kết hợp khác mà trình duyệt thích cho đến bây giờ. Đó là một nỗi đau.
Mahn

1
@William có, nhưng mặt khác, không sử dụng .để phân tách những thứ trong tên miền của bạn thuộc về nhau - tên miền là mối quan tâm của tên miền. Tại sao bạn cần phpmyadmin.serverX.domain.com, khi nào phpmyadmin-serverX.domain.comchính xác hơn về mặt ngữ nghĩa và dễ xử lý hơn trong các điều khoản DNS và TLS.
Daniel W.

Câu trả lời:


52

RFC2818 tuyên bố:

Nếu có nhiều hơn một danh tính của một loại nhất định trong chứng chỉ (ví dụ: nhiều hơn một tên dNSName, một kết quả trùng khớp trong bất kỳ một trong các tập hợp được coi là chấp nhận được.) Tên có thể chứa ký tự đại diện * được coi là khớp với bất kỳ một ký tự nào thành phần tên miền hoặc đoạn thành phần. Ví dụ: * .a.com khớp với foo.a.com nhưng không khớp với bar.foo.a.com. f * .com phù hợp với foo.com nhưng không phải bar.com.

Internet Explorer hành xử theo cách được RFC vạch ra, trong đó mỗi cấp cần chứng chỉ ký tự đại diện riêng. Firefox hài lòng với một * .domain.com duy nhất trong đó * khớp với mọi thứ trước domain.com, bao gồm other.levels.domain.com, nhưng cũng sẽ xử lý các loại *. *. Domain.com.

Vì vậy, để trả lời câu hỏi của bạn: có thể và được các trình duyệt hỗ trợ.


5
Cảm ơn bạn! Thử nghiệm trên FF 3.5.7 sáng nay cho thấy giờ đây nó đã tuân thủ RFC giống như IE. Nó đã từ chối chứng chỉ .example.com của tôi cho foo.bar.example.com. Vì vậy, chỉ cần làm rõ tất cả những gì tôi cần là một chứng chỉ ký tự đại diện khác có *. .example.com là tên chung?

7
Tôi mới thử nghiệm trong FF 3.5 và IE 8 và không chấp nhận chứng chỉ . .example.com. Tôi nghĩ giải pháp duy nhất là sử dụng nhiều chứng chỉ ký tự đại diện.
Robert

9
Ai đã viết tiêu chuẩn này? Điều này là vô giá trị. Cũng là một sự lãng phí tiền nếu bạn hỏi tôi. Nó bảo vệ cái gì?
Brent Pabst

6
Nếu các ký tự đại diện kép gây ra sự cố, các tên miền phụ cụ thể xung quanh các ký tự đại diện có hoạt động không? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
RCoup

2
@tudor FWIW, tôi vừa thử nghiệm và Firefox hiển thị cho tôi một kết nối của bạn không phải là trang bảo mật khi truy cập sub1.sub2.mydomain.combằng *.mydomain.comchứng chỉ, mặc dù xem xét chứng chỉ hợp lệ sub2.mydomain.com. Vì vậy, như tôi có thể nói, câu trả lời này thực sự sai, ít nhất là ngày hôm nay. Xem xét rằng cũng có một bình luận được đăng từ một người nào đó nói rằng họ không thể tái tạo hành vi vào ngày mà câu trả lời được đăng , tôi nghi ngờ liệu nó có đúng không.
Đánh dấu Amery

20

Chỉ cần xác nhận FF và IE 8 sẽ KHÔNG chấp nhận chứng chỉ trong biểu mẫu *.*.example.commặc dù về mặt kỹ thuật có thể tạo ra chúng.


2
Sau đó, bạn phải viết *.a.a.com, *.b.a.com, *.c.a.comcách thủ công?
William

2
@William Tôi nghĩ vậy. Điều này thực sự đáng tiếc.
Franklin Yu

17

Khi chứng chỉ SSL Wildcard được cấp cho * .domain.com, bạn có thể bảo mật số lượng tên miền phụ không giới hạn của mình trên tên miền chính.

Ví dụ:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • phụ * .domain.com

Nếu chứng chỉ SSL Wildcard được cấp trên * .sub1.domain.com, trong trường hợp đó, bạn có thể bảo mật tất cả các tên miền phụ cấp hai được liệt kê trong sub1.domain.com

Ví dụ:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

Nếu bạn muốn bảo mật số lượng tên miền phụ và tên miền cấp hai có giới hạn, thì bạn có thể chọn SSL đa miền có thể bảo mật tối đa 100 tên miền với một chứng chỉ.

Ví dụ:

  • tên miền.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Bạn nên biết yêu cầu thực tế của mình để chọn chứng chỉ SSL.


1
Đây là một sự hiểu biết tốt nhưng không trả lời câu hỏi. Bạn đã đề cập đến tất cả các kết hợp nhưng không phải là kết hợp mà OP yêu cầu ( . .Domain.com).
Daniel W.

8

Điều này có thể đáng giá một vòng thử nghiệm mới với các phiên bản trình duyệt hiện tại.

Kết quả kiểm tra nhanh cá nhân của tôi trong: Firefox 20.0.1 dường như vẫn không hỗ trợ điều này. Nó cho thấy:

Chứng chỉ này chỉ hợp lệ cho *. *. Mydomain.com

... khi lướt tới https://svn.project.mydomain.com .

Internet Explorer 9.0:

Giấy chứng nhận của trang web này đã được thực hiện cho một địa chỉ khác

Ghi chú:

  • Cả hai câu dịch từ tiếng Đức sang tiếng Anh, bởi tôi. Có lẽ tôi đã không sử dụng các cụm từ giống như các phiên bản trình duyệt tiếng Anh sẽ hiển thị.
  • Tôi đã sử dụng một chứng chỉ tự ký. Điều này khiến các trình duyệt hiển thị một câu cảnh báo bổ sung. Tôi giả định rằng các trích dẫn ở trên cũng sẽ được hiển thị với một tổ chức phát hành chứng chỉ tin cậy. Xác minh điều này nằm ngoài phạm vi "kiểm tra nhanh" của tôi.

7

Tôi mới thực hiện một số nghiên cứu về vấn đề này vì tôi cũng có những yêu cầu tương tự để bảo mật tên miền phụ cũng như tìm ra giải pháp từ DigiCert.

Giấy chứng nhận này cho biết sẽ hỗ trợ yourdomain.com, *.yourdomain.com, *.*.yourdomain.comvà vân vân.

Hiện tại nó khá là ngon, nhưng hy vọng là các nhà cung cấp khác sẽ bắt đầu cung cấp các chứng chỉ tương tự và giảm giá.


đây là cách tiếp cận đúng chứng chỉ ký tự đại diện có nhiều tên (ký tự đại diện) được hỗ trợ
drAlberT

Chúng tôi có chứng chỉ này từ digicert. Nó hỗ trợ nó, nhưng không phải mặc định. Bạn phải tạo một chứng chỉ trùng lặp và chỉ định tất cả các tên miền phụ trong chứng chỉ. Nó không tự động.
L_7337

7

Tất cả các câu trả lời ở đây đã lỗi thời hoặc không hoàn toàn chính xác, không xem xét RFC 6125 từ năm 2011.

Theo RFC 6125 , chỉ một ký tự đại diện duy nhất được cho phép ở phần còn lại nhiều nhất.

Có hiệu lực:

*.sub.domain.tld
*.domain.tld

Không hợp lệ:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Một đoạn, hay còn gọi là "nhãn", là một thành phần đóng, ví dụ: *.com(2 nhãn) không khớp label.label.com(3 nhãn) - điều này đã được xác định trong RFC 2818.

Trước năm 2011 trong RFC 2818, cài đặt không hoàn toàn rõ ràng:

Thông số kỹ thuật cho các công nghệ ứng dụng hiện tại không rõ ràng hoặc nhất quán về vị trí cho phép của ký tự đại diện.

Điều này đã thay đổi với RFC 6125 từ năm 2011 (6.4.3):

Khách hàng KHÔNG NÊN tìm cách khớp với số nhận dạng được trình bày trong đó ký tự đại diện bao gồm một nhãn khác với nhãn ngoài cùng bên trái (ví dụ: không khớp với thanh. * .Val.net).


2

mặc dù tôi không nhìn vào câu hỏi của bạn, tôi chỉ tình cờ đọc được vài điều về nó vài phút trước:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certert-for-two-levels.php

điều này giải thích rằng bạn không thể sử dụng dấu sao


Biên tập

Thêm một phần của trích dẫn trong trường hợp trang web bị sập hoặc quá dài để đọc

Điều không thể là cố gắng bao gồm cả hai tên miền phụ của mail.xyz.com và photos.xyz.com bằng một ký tự đại diện duy nhất. CA hoặc Tổ chức phát hành chứng chỉ chỉ có thể cung cấp chứng chỉ SSL với một (*). Bạn không thể tạo Yêu cầu ký chứng chỉ giống như vậy . .xyz.com để cố gắng bao gồm nhiều hơn một nhóm tên miền phụ cấp hai.

Lý do tại sao

Lý do không thể có chứng chỉ SSL "ký tự đại diện kép" là vì trình giữ chỗ, dấu hoa thị, chỉ có thể thay thế cho một trường trong tên được gửi cho CA. Rốt cuộc, CA phải xác minh tất cả thông tin và quá nhiều biến trong chứng chỉ sẽ làm giảm tính bảo mật và độ tin cậy mà chứng chỉ cung cấp.

Ngoài ra, và điều này cũng quan trọng đối với người quản lý CNTT và chủ sở hữu trang web, bảo mật nội bộ không thể bị xâm phạm một cách dễ dàng. Hãy nhớ rằng bất kỳ loại sự cố bảo mật nào khi có chứng chỉ SSL có nhiều khả năng xảy ra do vi phạm an ninh nội bộ nơi ai đó có quyền truy cập vào khóa riêng và chứng chỉ có thể thiết lập trang web tên miền phụ thực sự được bảo vệ bởi SSL.


1
Tôi phải lưu ý rằng hướng dẫn trả lời yêu cầu bạn trích dẫn các phần thiết yếu của bài viết trong phần câu trả lời của bạn. Bởi vì liên kết này có thể thay đổi theo thời gian hoặc bài viết có thể bị xóa. Nếu không, nó có thể không được coi là một câu trả lời.
sr9yar

0

Những gì bạn có thể làm là một cái gì đó như * .domain.com và sau đó * .www.domain.com hoặc * .mail.domain.com. Tôi chưa bao giờ thấy *. *. Domain.com trên một trang web sản xuất.

Bạn có thể nhận được một ký tự đại diện (* .domain.com) nhưng bạn cũng sẽ cần * .www.domain.com làm mục nhập tên chủ đề thay thế để làm việc này. Các công ty duy nhất mà tôi biết cung cấp điều này là ssl.com và digicert. Có thể có những người khác nhưng tôi không chắc chắn.


với allowencrypt, bạn cũng có thể phát hành ký tự đại diện. Và họ cho phép nhiều SAN. Vì vậy, bạn có thể định nghĩa một bộ SAN. Ví dụ -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
phân mảnh
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.