Zastanawiałem się tylko, czy wieloznaczny certyfikat SSL musi koniecznie mieć wspólną nazwę, która zawiera nazwę domeny witryn wymagających certyfikatu SSL.
Na przykład dla następujących:
Nazwa domeny: testdomain.com
Dotacje:
Czy koniecznie potrzebuję mojego certyfikatu wieloznacznego, aby mieć wspólną nazwę *.testdomain.com?
Odpowiedzi:
Tak, Twoja nazwa pospolita powinna być * .twojadomena.com dla certyfikatu wieloznacznego.
Zasadniczo nazwa zwykła określa domenę, dla której twój certyfikat jest dobry, więc musi określać rzeczywistą domenę.
Wyjaśnienie: nie powinna „zawierać” nazwy domeny witryn, powinna być domeną witryn. Zgaduję, że nie ma różnicy w twoim pytaniu, chciałem tylko wyjaśnić, na wypadek, gdyby istniało błędne wyobrażenie o tym, jaka powinna być domena lub do czego będzie używany certyfikat.
W rzeczywistości należy użyć dnsNamewpisów w subjectAltNamesekcji certyfikatu, aby określić nazwy FQDN, a nie część CN nazwy subject. Korzystanie z subjecttego celu jest przestarzałe od czasu opublikowania RFC 2818 w 2000 roku. Cytując sekcję 3.1 :
Jeśli istnieje rozszerzenie subjectAltName typu dNSName, MUSI to być użyte jako tożsamość. W przeciwnym razie MUSI być użyte (najbardziej szczegółowe) pole Nazwa zwyczajowa w polu Temat certyfikatu. Chociaż stosowanie nazwy zwyczajowej jest istniejącą praktyką, jest ona przestarzała i zachęca się urzędy certyfikacji do korzystania z nazwy dNSName.
Jedyny przypadek, w którym zawartość subjectsą istotne w kontekście weryfikacji certyfikatu serwera nie jest jeśli nie jest dnsNamewliczone w subjectAltName, sprawę, która została wycofana w ciągu ostatnich 17 lat w chwili pisania.
Użycie certyfikatów wieloznacznych jest przestarzałe, jak pokazano w sekcji 7.2 RFC 6125 :
Dokument ten stwierdza, że znak wieloznaczny „*” NIE POWINIEN być uwzględniany w prezentowanych identyfikatorach, ale MOŻE być sprawdzany przez klientów aplikacji (głównie ze względu na kompatybilność wsteczną z wdrożoną infrastrukturą).
Używanie tego samego klucza prywatnego do kilku usług jest zwykle uważane za złą praktykę. Jeśli jedna z usług zostanie naruszona, komunikacja z innymi usługami będzie zagrożona i będziesz musiał wymienić klucz (i certyfikat) dla wszystkich usług.
RFC 6125 sugeruję jako dobre źródło informacji na ten temat.
dnsNamemoże zawierać domenę wieloznaczną. Co powinno być subjectw takim przypadku?
subjectAltNamezawiera co najmniej jeden dnsName, zawartość nie subjectma znaczenia w kontekście weryfikacji certyfikatu.
Tak, certyfikat SSL Wildcard jest najlepszym rozwiązaniem zgodnie z Twoimi wymaganiami. Za pomocą certyfikatu Wildcard będziesz mógł chronić informacje o odwiedzających. Nie ma znaczenia, która strona witryny zostanie przesłana. Certyfikat Wildcard zabezpiecza nieograniczoną liczbę subdomen, które mają tę samą nazwę domeny.
Zainstalowanie tego samego certyfikatu wieloznacznego we wszystkich subdomenach i serwerach wiąże się z wbudowanym ryzykiem: w przypadku naruszenia bezpieczeństwa jednego serwera lub subdomeny, wszystkie subdomeny mogą zostać jednakowo zagrożone. Upewnij się, że Twoja witryna jest chroniona wieloma poziomami ochrony przed wszelkimi presjami zewnętrznymi i wewnętrznymi.