二级子域的通配符SSL证书

93

我想知道是否有证书支持双通配符*.*.example.com?我刚刚和我当前的SSL提供商(register.com)通话,那里的那个女孩说他们不提供那样的东西,而且她认为这是不可能的。

谁能告诉我这是否可行,并且浏览器是否支持?

ssl  subdomain  certificate  wildcard 
亚历山大·布洛姆斯科尔德(AleksanderBlomskøld)
source
10
仅供参考,对于未来的访问者,*.*.example.com自2015年起,没有浏览器支持双通配符证书ala 。不知道为什么。
马恩
@Mahn那么你必须写*.a.a.com*.b.a.com*.c.a.com,...手动?
威廉
1
@LiamWilliam显然,到目前为止,我还没有找到浏览器喜欢的其他组合。真痛苦
Mahn 2015年
1
@William是的,但是,另一方面,请不要使用.来分隔域名中属于同一部分的内容-域名是您关心的域名。为什么你需要phpmyadmin.serverX.domain.com的时候phpmyadmin-serverX.domain.com在语义上更准确,更容易在DNS和TLS条款来处理。
Daniel W.

Answers:

52

RFC2818指出:

如果证书中存在一个以上给定类型的标识(例如,一个以上的dNSName名称,则认为该集合中的任何一个都可以接受。)名称中可能包含通配符*,该通配符*被认为与任何单个字符匹配域名组件或组件片段。例如,*。a.com与foo.a.com匹配,但与bar.foo.a.com不匹配。f * .com匹配foo.com,但不匹配bar.com。

Internet Explorer表现为RFC概述的方式,其中每个级别都需要自己的通配证书。Firefox对单个* .domain.com感到满意,其中*与domain.com前面的任何内容匹配,包括other.levels.domain.com,但也可以处理*。*。domain.com类型。

因此,回答您的问题:这是可能的,并且受浏览器支持。

亚历克斯
source
5
谢谢!今早在FF 3.5.7上进行的测试表明,它现在与IE相同,都符合RFC。它拒绝了我的.example.com证书中的foo.bar.example.com。因此,为了澄清一下,我需要的是另一个带有*的通配符证书。.example.com作为通用名称?
7
我刚刚在FF 3.5和IE 8中进行了测试,但都不接受的证书.example.com。我认为唯一的解决方案是使用多个通配符证书。
罗伯特2010年
9
谁写了这个标准?这是毫无价值的。如果你问我也浪费钱。它保护什么?
布伦特·帕布斯特
6
如果双通配符引起问题,通配符周围的特定子域是否起作​​用?alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup 2012年
2
我刚刚进行了@tudor FWIW测试,Firefox向我显示了一个使用证书访问时的连接不安全页面,尽管该证书对于仍然有效。因此,据我所知,至少在今天,这个答案确实是错误的。考虑到也有人发表评论说他们在发布答案的那一天无法重现该行为,我对此是否正确持怀疑态度。sub1.sub2.mydomain.com*.mydomain.comsub2.mydomain.com
马克·阿默里
20

只是为了确认FF和IE 8将不接受该格式的证书,*.*.example.com尽管在技术上可以创建它们。

2
那你必须写*.a.a.com*.b.a.com*.c.a.com手动?
威廉
2
@威廉我是这样认为的。这真是不幸。
富兰克林·于
17

为* .domain.com颁发通配符SSL证书时,您可以在主域上保护不限数量的子域。

例如:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

如果通配符SSL证书是在* .sub1.domain.com上颁发的,则在这种情况下,您可以保护sub1.domain.com下列出的所有第二级子域

例如:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***。sub1.domain.com

如果要保护有限数量的子域和第二级域,则可以选择可以使用单个证书保护多达100个域名的多域SSL。

例如:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

您应该了解选择SSL证书的实际要求。

杰森·帕姆斯(Jason Parms)
source
1
这是一个很好的理解,但不能回答问题。你所提到的所有的组合,但不是一个OP问( .domain.com)。
Daniel W.
8

对于当前的浏览器版本,这可能值得进行新一轮的测试。

我的个人快速检查结果是:Firefox 20.0.1似乎仍然不支持此功能。表明:

该证书仅对*。*。mydomain.com有效

...浏览到https://svn.project.mydomain.com时

Internet Explorer 9.0:

该网站的证书是为另一个地址制作的

笔记:

  • 我将这两种说法从德语翻译成英语。可能我没有使用与英语浏览器版本相同的短语。
  • 我使用了自签名证书。这导致浏览器显示警告的另一句话。我假设上面的引用也会与受信任的证书颁发者一起显示。验证这超出了我的“快速检查”范围。
克劳斯·索恩
source
7

我只是对此进行了一些研究,因为我对保护子子网域也有相同的要求,并且遇到了DigiCert 的解决方案

此证书表示,将支持yourdomain.com*.yourdomain.com*.*.yourdomain.com等等。

当前价格相当昂贵,但希望其他提供商可以开始提供类似的证书并降低价格。

F21
source
这是正确的方法。具有多个(通配符)名称支持的通配符证书
drAlberT
我们有来自digicert的证书。它支持它,但默认情况下不支持。您必须创建一个重复的证书,并在证书中指定所有子域。它不是自动的。
L_7337 '16
7

这里的所有答案都已经过时或不完全正确,没有考虑2011年的RFC 6125。

根据RFC 6125,最左边的片段中只允许使用一个通配符。

有效:

*.sub.domain.tld
*.domain.tld

无效:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

一个片段,也称为“标签”,是一个封闭的组件,例如:*.com(2个标签)不匹配label.label.com(3个标签)-这已经在RFC 2818中定义。

在RFC 2818中,2011年之前的设置尚未完全清楚:

现有应用程序技术的规范在通配符的允许位置方面不清楚或不一致。

自2011年起(6.4.3)的RFC 6125改变了这一点:

客户端不应该尝试匹配呈现的标识符,在该标识符中通配符包含最左边的标签以外的其他标签(例如,不匹配bar。*。example.net)。

丹尼尔W.
source
2

尽管我没有调查您的问题,但我只是在几分钟前读了一些有关它的内容:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

这说明您不能使用双星号

编辑

如果网站出现故障或阅读时间过长,请添加部分报价

不可能尝试使用单个通配符覆盖mail.xyz.com和photos.xyz.com的两个子域。CA或证书颁发机构只能提供带有单个(*)的SSL证书。您无法生成类似的证书签名请求.xyz.com,以尝试覆盖一个以上的二级子域组。

之所以

无法获得“双通配符” SSL证书的原因是,占位符星号只能代表提交给CA的名称中的一个字段。毕竟,CA必须验证所有信息,并且证书中的变量过多会降低证书提供的安全性和可信度。

此外,这对于IT经理和网站所有者也很重要,内部安全性不会轻易受到损害。请记住,一旦建立了SSL证书,任何类型的安全问题都很可能是由内部安全漏洞引起的,在该漏洞中,有权访问私钥和证书的人能够建立一个由SSL。

DeadManN
source
1
我必须注意,回答准则要求您在回答正文中引用文章的重要部分。因为此链接可能会随着时间而改变,或者文章可能会被删除。否则,它可能不会被视为答案。
sr9yar
0

您可以做的是* .domain.com,然后是* .www.domain.com或* .mail.domain.com。我从未在生产站点上看到*。*。domain.com。

您可以使用通配符(* .domain.com),但还需要使用* .www.domain.com作为替代主题名称条目才能使它起作用。我知道的唯一提供此服务的公司是ssl.com和digicert。可能还有其他人,但我不确定。

柯尔特·布莱克
source
使用letsencrypt,您还可以颁发通配符证书。并且它们允许多个SAN。因此,您可以定义一组SAN。例如-d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com
fragmentedreality
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.