wildcard ssl w subdomenie [zamknięte]

146

mamy certyfikat ssl typu wildcard dla * .domain.com i mamy witrynę z sub1.sub2.domain.com

safari 4.0.4 na MacOsx wyskakuje błąd certyfikatu (prawdopodobnie z powodu interpretacji symboli wieloznacznych), podczas gdy safari 4 w systemie Windows nie.

również zachowanie ie8 jest w najlepszym przypadku mieszane, niektóre ie8 nie wyświetlają błędu certyfikatu, a inne nie.

Co powoduje to dziwne zachowanie w Safari i IE?

ssl-certificate wildcard-subdomain

— porto alet
źródło

właśnie zdałem sobie sprawę z tego problemu po zakupie nowego 2-letniego certyfikatu ...

— Rafa

Odpowiedzi:

192

Certyfikat SSL typu wildcard dla * .example.net będzie pasował do sub.example.net, ale nie do sub.sub.example.net .

Z RFC 2818 :

Dopasowywanie jest wykonywane przy użyciu reguł dopasowania określonych w dokumencie RFC2459 . Jeśli w certyfikacie występuje więcej niż jedna tożsamość danego typu (np. Więcej niż jedna nazwa dNSName, dopasowanie w dowolnym z zestawu jest uznawane za dopuszczalne). Nazwy mogą zawierać symbol wieloznaczny, *który jest uważany za pasujący do dowolnej pojedynczej domeny nazwa komponentu lub fragment komponentu. Np. *.a.comMecze, foo.a.comale nie bar.foo.a.com. f*.compasuje, foo.comale nie bar.com.

— Elias Torres Arroyo
źródło

@Chris Nie sądzę, istnieje wiele czynników technicznych, które ograniczają taką regułę i zmuszają organy certyfikujące do odpowiedniego opracowania certyfikatu bezpieczeństwa.

@sophie różne czynniki techniczne, jak ktoś zdał sobie sprawę, że bardziej opłaca się sprzedawać certyfikaty nieskończoności, niż pozwalać, aby jeden certyfikat obejmował każdy scenariusz do nieskończoności.

— Chris Marisic

Zobacz blackhat.com/presentations/bh-dc-09/Marlinspike/… slajd 91, aby zapoznać się z możliwym zagrożeniem bezpieczeństwa związanym z certyfikatami wieloznacznymi. Zobacz także media.blackhat.com/bh-ad-10/Hansen/… slajd 38.

— Carl

@ user1602478: jakie są te czynniki techniczne?

— ikonoklast

czy musisz *.*.example.comzabezpieczyć subdomeny pierwszego i drugiego poziomu?

— Shane Rowatt

Jeśli potrzebujesz certyfikatu z symbolem wieloznacznym, który zawiera witryny * .domain.com, a także współpracuje z sub1.sub2.domain.com lub inną domeną, taką jak * .domain2.com, możesz to rozwiązać za pomocą pojedynczego certyfikatu wieloznacznego z tak zwanym tematem rozszerzenie nazwy alternatywnej (SAN) dla każdej z pozostałych subdomen. Certyfikat sieci SAN jest przeznaczony nie tylko dla wielu określonych nazw hostów, ale można go również utworzyć dla wpisów z symbolami wieloznacznymi.

Na przykład * .domain.com, sub1.sub2.domain.com i * .domain2.com będą miały nazwę pospolitą * .domain.com, wtedy możesz dołączyć alternatywną nazwę podmiotu zarówno * .domain2.com, jak i * .sub2.domain.com. Może to zależeć od urzędu certyfikacji, w jaki sposób będą naliczać (lub nie) opłatę za certyfikat, ale jest kilka miejsc, w których ta oferta jest dostępna. Ponadto obsługa sieci SAN jest dość rozpowszechniona w przestrzeni przeglądarki internetowej. Najlepszym przykładem tego zastosowania w świecie rzeczywistym jest certyfikat SSL firmy Google. Otwórz Google i zobacz jego certyfikat SSL, zobaczysz, że działa on dla * .google.com, * .youtube.com, * .gmail.com i wielu innych, gdzie są wymienione jako alternatywne nazwy tematów.

— RobLL
źródło

Jakie są przykłady urzędów certyfikacji, które wydają takie certyfikaty?

— Arto Bendiken

Czy byłoby więc możliwe uzyskanie certyfikatu, *.DOMAIN.COMktóry ma SAN dla *.*.DOMAIN.COM(i być może *.*.*.DOMAIN.COM) obejmujący te subdomen i sub-subdomen?

— Simon East,

@SimonEast nie jest możliwe.

— Nick

To powinna być akceptowana odpowiedź. @Nick, przejdź do sslshopper.com/ssl-checker.html#hostname=google.com i spójrz na sekcję SAN

— Nehal J Wani

@NehalJWani czego mam szukać?

— Nick

Symbol wieloznaczny jest stosowany tylko do pierwszej części (od lewej) domeny. Potrzebujesz więc certyfikatu dla * .sub2.domain.com

Jeśli chodziło Ci o to, że masz sub1.domain.com i sub2.domain.com, to powinno działać.

— WYSTĘP
źródło