Chứng chỉ SSL ký tự đại diện có nên bảo mật cả tên miền gốc cũng như tên miền phụ không?

Tôi hỏi câu hỏi này, bởi vì Comodo đang nói với tôi rằng chứng chỉ ký tự đại diện cho * .example.com cũng sẽ bảo mật tên miền gốc example.com. Vì vậy, với một chứng chỉ duy nhất, cả my.example.com và example.com đều được bảo mật mà không có cảnh báo từ trình duyệt.

Tuy nhiên, đây không phải là trường hợp với chứng chỉ tôi đã được cung cấp. Tên miền phụ của tôi được bảo mật tốt và không gây ra lỗi, nhưng tên miền gốc sẽ xuất hiện lỗi trong trình duyệt, nói rằng nhận dạng không thể được xác minh.

Khi tôi so sánh chứng chỉ này với các kịch bản tương tự khác, tôi thấy rằng trong các tình huống hoạt động không có lỗi, Tên thay thế chủ đề (SAN) liệt kê cả * .example.com và example.com, trong khi chứng chỉ gần đây từ Comodo chỉ liệt kê *. example.com là Tên chung và KHÔNG example.com làm Tên thay thế chủ đề.

Bất cứ ai cũng có thể xác nhận / làm rõ rằng tên miền gốc nên được liệt kê trong chi tiết SAN nếu nó cũng được bảo mật chính xác?

Khi tôi đọc điều này: http://www.digicert.com/subject-alternative-name.htm Dường như SAN phải liệt kê cả hai để hoạt động như tôi cần. Kinh nghiệm của bạn là gì?

Cảm ơn rất nhiều.

Có một số điểm không thống nhất giữa các triển khai SSL về cách chúng khớp với các ký tự đại diện, tuy nhiên bạn sẽ cần root làm tên thay thế để hoạt động với hầu hết các máy khách.

Đối với một *.example.comchứng chỉ,

• a.example.com nên vượt qua
• www.example.com nên vượt qua
• example.com không nên vượt qua
• a.b.example.com có thể vượt qua tùy thuộc vào việc thực hiện (nhưng có lẽ là không).

Về cơ bản, các tiêu chuẩn nói rằng *nên khớp 1 hoặc nhiều ký tự không dấu chấm, nhưng một số triển khai cho phép một dấu chấm.

Câu trả lời chính tắc phải có trong RFC 2818 (HTTP Over TLS) :

Việc so khớp được thực hiện bằng các quy tắc khớp được chỉ định bởi [RFC2459]. Nếu có nhiều hơn một danh tính của một loại nhất định trong chứng chỉ (ví dụ: nhiều hơn một tên dNSName, một kết quả trùng khớp trong bất kỳ một trong các tập hợp được coi là chấp nhận được.) Tên có thể chứa ký tự đại diện * được coi là khớp với bất kỳ một ký tự nào thành phần tên miền hoặc đoạn thành phần. Ví dụ: *.a.comphù hợp với foo.a.com nhưng không phù hợp với bar.foo.a.com. f*.comphù hợp với foo.com nhưng không phải bar.com.

RFC 2459 nói:

• Ký tự đại diện "*" CÓ THỂ được sử dụng làm thành phần tên bên trái nhất trong chứng chỉ. Ví dụ: *.example.comsẽ khớp với a.example.com, foo.example.com, v.v. nhưng sẽ không khớp với example.com.

Nếu bạn cần một chứng chỉ để làm việc cho example.com, www.example.com và foo.example.com, bạn cần một chứng chỉ với chủ đềAltNames để bạn có "example.com" và "* .example.com" (hoặc ví dụ .com và tất cả các tên khác mà bạn có thể cần phải khớp).

Bạn đã đúng, tên miền gốc cần phải là một tên thay thế cho nó để xác thực.

Mỗi nhà cung cấp SSL mà tôi đã từng sử dụng sẽ tự động thêm tên miền gốc làm Tên thay thế chủ đề vào chứng chỉ SSL ký tự đại diện, vì vậy DOMAIN.COM sẽ tự động hoạt động cho chứng chỉ ký tự đại diện * .DOMAIN.COM.

Chứng chỉ ký tự đại diện được tạo lý tưởng cho * .example.com Để bảo mật tên miền phụ và tên miền của bạn bằng chứng chỉ này, tất cả những gì bạn cần làm là cài đặt cùng một chứng chỉ trên các máy chủ trỏ đến các tên miền này.

Ví dụ: bạn có chứng chỉ ký tự đại diện cho * .example.com one.example.com - máy chủ 1 example.com - máy chủ 2

bạn cần cài đặt chứng chỉ này trên máy chủ 1 và máy chủ 2.