wildcard ssl w subdomenie [zamknięte]


146

mamy certyfikat ssl typu wildcard dla * .domain.com i mamy witrynę z sub1.sub2.domain.com

safari 4.0.4 na MacOsx wyskakuje błąd certyfikatu (prawdopodobnie z powodu interpretacji symboli wieloznacznych), podczas gdy safari 4 w systemie Windows nie.

również zachowanie ie8 jest w najlepszym przypadku mieszane, niektóre ie8 nie wyświetlają błędu certyfikatu, a inne nie.

Co powoduje to dziwne zachowanie w Safari i IE?


4
właśnie zdałem sobie sprawę z tego problemu po zakupie nowego 2-letniego certyfikatu ...
Rafa

Odpowiedzi:


192

Certyfikat SSL typu wildcard dla * .example.net będzie pasował do sub.example.net, ale nie do sub.sub.example.net .

Z RFC 2818 :

Dopasowywanie jest wykonywane przy użyciu reguł dopasowania określonych w dokumencie RFC2459 . Jeśli w certyfikacie występuje więcej niż jedna tożsamość danego typu (np. Więcej niż jedna nazwa dNSName, dopasowanie w dowolnym z zestawu jest uznawane za dopuszczalne). Nazwy mogą zawierać symbol wieloznaczny, *który jest uważany za pasujący do dowolnej pojedynczej domeny nazwa komponentu lub fragment komponentu. Np. *.a.comMecze, foo.a.comale nie bar.foo.a.com. f*.compasuje, foo.comale nie bar.com.


5
@Chris Nie sądzę, istnieje wiele czynników technicznych, które ograniczają taką regułę i zmuszają organy certyfikujące do odpowiedniego opracowania certyfikatu bezpieczeństwa.

51
@sophie różne czynniki techniczne, jak ktoś zdał sobie sprawę, że bardziej opłaca się sprzedawać certyfikaty nieskończoności, niż pozwalać, aby jeden certyfikat obejmował każdy scenariusz do nieskończoności.
Chris Marisic

3
Zobacz blackhat.com/presentations/bh-dc-09/Marlinspike/… slajd 91, aby zapoznać się z możliwym zagrożeniem bezpieczeństwa związanym z certyfikatami wieloznacznymi. Zobacz także media.blackhat.com/bh-ad-10/Hansen/… slajd 38.
Carl

5
@ user1602478: jakie są te czynniki techniczne?
ikonoklast

5
czy musisz *.*.example.comzabezpieczyć subdomeny pierwszego i drugiego poziomu?
Shane Rowatt

67

Jeśli potrzebujesz certyfikatu z symbolem wieloznacznym, który zawiera witryny * .domain.com, a także współpracuje z sub1.sub2.domain.com lub inną domeną, taką jak * .domain2.com, możesz to rozwiązać za pomocą pojedynczego certyfikatu wieloznacznego z tak zwanym tematem rozszerzenie nazwy alternatywnej (SAN) dla każdej z pozostałych subdomen. Certyfikat sieci SAN jest przeznaczony nie tylko dla wielu określonych nazw hostów, ale można go również utworzyć dla wpisów z symbolami wieloznacznymi.

Na przykład * .domain.com, sub1.sub2.domain.com i * .domain2.com będą miały nazwę pospolitą * .domain.com, wtedy możesz dołączyć alternatywną nazwę podmiotu zarówno * .domain2.com, jak i * .sub2.domain.com. Może to zależeć od urzędu certyfikacji, w jaki sposób będą naliczać (lub nie) opłatę za certyfikat, ale jest kilka miejsc, w których ta oferta jest dostępna. Ponadto obsługa sieci SAN jest dość rozpowszechniona w przestrzeni przeglądarki internetowej. Najlepszym przykładem tego zastosowania w świecie rzeczywistym jest certyfikat SSL firmy Google. Otwórz Google i zobacz jego certyfikat SSL, zobaczysz, że działa on dla * .google.com, * .youtube.com, * .gmail.com i wielu innych, gdzie są wymienione jako alternatywne nazwy tematów.


7
Jakie są przykłady urzędów certyfikacji, które wydają takie certyfikaty?
Arto Bendiken

14
Czy byłoby więc możliwe uzyskanie certyfikatu, *.DOMAIN.COMktóry ma SAN dla *.*.DOMAIN.COM(i być może *.*.*.DOMAIN.COM) obejmujący te subdomen i sub-subdomen?
Simon East,

4
@SimonEast nie jest możliwe.
Nick

To powinna być akceptowana odpowiedź. @Nick, przejdź do sslshopper.com/ssl-checker.html#hostname=google.com i spójrz na sekcję SAN
Nehal J Wani

@NehalJWani czego mam szukać?
Nick

18

Symbol wieloznaczny jest stosowany tylko do pierwszej części (od lewej) domeny. Potrzebujesz więc certyfikatu dla * .sub2.domain.com

Jeśli chodziło Ci o to, że masz sub1.domain.com i sub2.domain.com, to powinno działać.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.