Answers:
* .example.net的通配符SSL证书将匹配sub.example.net,但不匹配sub.sub.example.net。
从RFC 2818:
使用RFC2459指定的匹配规则执行匹配 。如果证书中存在一个以上给定类型的标识(例如,一个以上的dNSName名称,则认为该集合中的任何一个都可接受)。名称可能包含通配符
*,该通配符被认为与任何单个域匹配命名组件或组件片段。例如,*.a.com匹配foo.a.com但不匹配bar.foo.a.com。f*.com匹配foo.com但不匹配bar.com。
*.*.example.com必须保护第一级和第二级子域?
如果您需要一个包含* .domain.com网站的通配符证书,并且还可以与sub1.sub2.domain.com或其他域(例如* .domain2.com)一起使用,则可以使用一个带有主题的单个通配符证书来解决该问题。每个其他子子域的备用名称(SAN)扩展。SAN证书不仅用于多个特定的主机名,还可以为通配符条目创建它。
例如,*。domain.com,sub1.sub2.domain.com和* .domain2.com将具有* .domain.com的通用名称,然后您将附加一个主题替代名称* .domain2.com和* .sub2.domain.com。关于他们如何向您收取(或不收取)证书费用,可能取决于证书颁发机构,但是有一些可用的产品。同样,SAN在Web浏览器空间中的支持非常广泛。现实中最好的例子就是Google的SSL证书。打开Google并查看其SSL证书,您会看到它适用于* .google.com,*。youtube.com,*。gmail.com,还有更多用于主题替代名称的名称。
*.DOMAIN.COM具有SAN 的证书*.*.DOMAIN.COM(可能*.*.*.DOMAIN.COM)来覆盖这些子子域和子子域?