ใบรับรอง Wildcard SSL สำหรับโดเมนย่อยระดับที่สอง

93

ผมอยากจะทราบว่าใบรับรองใดสนับสนุนตัวแทนคู่เหมือน*.*.example.com? ฉันเพิ่งได้รับโทรศัพท์กับผู้ให้บริการ SSL ปัจจุบันของฉัน (register.com) และหญิงสาวที่นั่นบอกว่าพวกเขาไม่ได้เสนออะไรแบบนั้นและเธอก็ไม่คิดว่ามันจะเป็นไปได้

มีใครบอกได้บ้างว่าเป็นไปได้หรือไม่และถ้าเบราว์เซอร์รองรับสิ่งนี้

ssl  subdomain  certificate  wildcard 
Aleksander Blomskøld
แหล่งที่มา
10
FYI สำหรับผู้เยี่ยมชมในอนาคตไม่มีเบราว์เซอร์ที่รองรับใบรับรองบัตรแทนสอง*.*.example.comเท่าในปี 2015 ไม่ทราบว่าทำไม
มาห์น
@Mahn แล้วทำคุณต้องเขียน*.a.a.com, *.b.a.com, *.c.a.com... ด้วยตนเอง?
วิลเลียม
1
@LiamWilliam เห็นได้ชัดว่าฉันไม่พบชุดค่าผสมอื่น ๆ ที่เบราว์เซอร์ชอบมาจนถึงตอนนี้ มันเป็นความเจ็บปวด
Mahn
1
@William ใช่ แต่ในทางกลับกันอย่าใช้.เพื่อแยกสิ่งต่าง ๆ ในชื่อโดเมนของคุณที่อยู่ด้วยกัน - โดเมนคือโดเมนที่เกี่ยวข้อง ทำไมคุณต้องใช้phpmyadmin.serverX.domain.comเมื่อphpmyadmin-serverX.domain.comมีความหมายถูกต้องและง่ายต่อการจัดการในข้อกำหนด DNS และ TLS
Daniel W.

คำตอบ:

52

รัฐRFC2818 :

หากมีข้อมูลประจำตัวมากกว่าหนึ่งประเภทที่ระบุมีอยู่ในใบรับรอง (เช่นชื่อ dNSName มากกว่าหนึ่งชื่อการจับคู่ในชุดใดชุดหนึ่งถือว่าเป็นที่ยอมรับได้) ชื่ออาจมีอักขระตัวแทน * ซึ่งถือว่าตรงกับชื่อใด ๆ คอมโพเนนต์ชื่อโดเมนหรือส่วนของคอมโพเนนต์ เช่น * .a.com จับคู่ foo.a.com แต่ไม่ใช่ bar.foo.a.com f * .com ตรงกับ foo.com แต่ไม่ใช่ bar.com

Internet Explorer ทำงานในลักษณะที่ RFC กำหนดไว้ซึ่งแต่ละระดับต้องการใบรับรองไวด์การ์ดที่เป็นของตนเอง Firefox มีความสุขกับ * .domain.com โดยที่ * จับคู่สิ่งใด ๆ ที่อยู่ตรงหน้า domain.com รวมถึง other.levels.domain.com แต่จะจัดการกับ *. *. domain.com ได้เช่นกัน

ดังนั้นเพื่อตอบคำถามของคุณ: เป็นไปได้และสนับสนุนโดยเบราว์เซอร์

อเล็กซ์
แหล่งที่มา
5
ขอขอบคุณ! การทดสอบ FF 3.5.7 เมื่อเช้านี้แสดงให้เห็นว่าขณะนี้เป็นไปตาม RFC ในลักษณะเดียวกับ IE มันปฏิเสธใบรับรอง. example.comของฉันสำหรับ foo.bar.example.com ดังนั้นเพื่ออธิบายให้ชัดเจนทั้งหมดที่ฉันต้องการคือใบรับรองไวด์การ์ดอีกใบที่มี * .example.com เป็นชื่อสามัญหรือไม่
7
ฉันเพียงแค่การทดสอบใน FF 3.5 และ IE 8 และไม่ยอมรับใบรับรองสำหรับ .example.com ฉันคิดว่าทางออกเดียวคือใช้ใบรับรองตัวแทนหลายใบ
Robert
9
ใครเป็นผู้เขียนมาตรฐานนี้ สิ่งนี้ไร้ค่า ยังเสียเงินถ้าคุณถามฉัน มันปกป้องอะไร
Brent Pabst
6
หากสัญลักษณ์แทนคู่ทำให้เกิดปัญหาโดเมนย่อยเฉพาะรอบสัญลักษณ์จะทำงานได้หรือไม่ alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW ฉันเพิ่งทดสอบและ Firefox จะแสดงหน้าการเชื่อมต่อของคุณไม่ปลอดภัยเมื่อเข้าถึงsub1.sub2.mydomain.comด้วย*.mydomain.comใบรับรองแม้ว่าจะพิจารณาใบรับรองที่ถูกต้องsub2.mydomain.comก็ตาม อย่างที่ฉันบอกได้คำตอบนี้ผิดอย่างน้อยวันนี้ เมื่อพิจารณาว่ามีความคิดเห็นที่โพสต์จากคนที่บอกว่าพวกเขาไม่สามารถทำซ้ำพฤติกรรมในวันที่คำตอบถูกโพสต์ฉันสงสัยเกี่ยวกับว่ามันถูกต้องหรือไม่
Mark Amery
20

เพียงเพื่อยืนยัน FF และ IE 8 จะไม่ยอมรับใบรับรองในแบบฟอร์ม*.*.example.comแม้ว่าจะเป็นไปได้ในทางเทคนิคในการสร้างใบรับรอง

2
จากนั้นคุณจะต้องมีการเขียน*.a.a.com, *.b.a.com, *.c.a.comตนเอง?
วิลเลียม
2
@ วิลเลียมฉันคิดอย่างนั้น นี่มันช่างโชคร้ายจริงๆ
Franklin Yu
17

เมื่อออกใบรับรอง Wildcard SSL ให้กับ * .domain.com คุณสามารถสร้างความปลอดภัยให้กับโดเมนย่อยได้ไม่ จำกัด จำนวนผ่านโดเมนหลัก

ตัวอย่างเช่น:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • ย่อย * .domain.com

หากมีการออกใบรับรอง Wildcard SSL ใน * .sub1.domain.com ในกรณีนี้คุณสามารถรักษาความปลอดภัยโดเมนย่อยระดับที่สองทั้งหมดซึ่งอยู่ภายใต้ sub1.domain.com

ตัวอย่างเช่น:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

หากคุณต้องการความปลอดภัยของโดเมนย่อยจำนวน จำกัด และโดเมนระดับที่สองคุณสามารถเลือก SSL หลายโดเมนที่สามารถรับรองชื่อโดเมนได้สูงสุด 100 ชื่อด้วยใบรับรองเดียว

ตัวอย่างเช่น:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

คุณควรทราบข้อกำหนดที่แท้จริงของคุณเพื่อเลือกใบรับรอง SSL

Jason Parms
แหล่งที่มา
1
นี่เป็นความเข้าใจที่ดี แต่ไม่ตอบคำถาม ที่คุณกล่าวถึงการรวมกันทั้งหมด แต่ไม่ได้เป็นหนึ่งใน OP ถาม ( . .domain.com)
Daniel W.
8

สิ่งนี้อาจคุ้มค่ากับการทดสอบรอบใหม่ด้วยเบราว์เซอร์เวอร์ชันปัจจุบัน

ผลการตรวจสอบด่วนส่วนตัวของฉันใน: Firefox 20.0.1 ดูเหมือนว่ายังไม่รองรับ มันแสดงให้เห็น:

ใบรับรองนี้ใช้ได้เฉพาะกับ *. *. mydomain.com

... เมื่อท่องไปhttps://svn.project.mydomain.com

Internet Explorer 9.0:

ใบรับรองของเว็บไซต์นี้ทำขึ้นเพื่อที่อยู่อื่น

หมายเหตุ:

  • งบทั้งสองแปลจากภาษาเยอรมันเป็นภาษาอังกฤษโดยฉัน อาจเป็นเพราะฉันไม่ได้ใช้วลีเดียวกับเวอร์ชั่นภาษาอังกฤษของเบราว์เซอร์ที่จะแสดง
  • ฉันใช้ใบรับรองที่ลงนามเอง ซึ่งทำให้เบราว์เซอร์แสดงคำเตือนเพิ่มเติมในประโยค ฉันคิดว่าราคาข้างต้นจะแสดงพร้อมกับผู้ออกใบรับรองที่เชื่อถือได้ด้วย การยืนยันสิ่งนี้อยู่นอกขอบเขตของ "การตรวจสอบด่วน" ของฉัน
klaus หนาม
แหล่งที่มา
7

ฉันเพิ่งจะทำการวิจัยบางอย่างเกี่ยวกับเรื่องนี้เนื่องจากฉันมีข้อกำหนดแบบเดียวกันเพื่อรักษาความปลอดภัยซับโดเมนย่อยและได้พบกับโซลูชันจาก DigiCert

ใบรับรองนี้บอกว่ามันจะให้การสนับสนุนyourdomain.com, *.yourdomain.com, *.*.yourdomain.comและอื่น ๆ

ขณะนี้ค่อนข้างแพง แต่หวังว่าผู้ให้บริการรายอื่นจะเริ่มเสนอใบรับรองที่คล้ายกันและลดราคา

F21
แหล่งที่มา
นี่คือแนวทางที่ถูกต้อง ใบรับรองไวลด์การ์ดที่รองรับชื่อ (ไวด์การ์ด) หลายชื่อ
drAlberT
เรามีใบรับรองนี้จาก digicert สนับสนุน แต่ไม่ใช่โดยค่าเริ่มต้น คุณต้องสร้างใบรับรองซ้ำและระบุโดเมนย่อยทั้งหมดในใบรับรอง มันไม่อัตโนมัติ
L_7337
7

คำตอบทั้งหมดที่นี่ล้าสมัยหรือไม่ถูกต้องไม่พิจารณา RFC 6125 จาก 2011

ตามRFC 6125มีเพียงหนึ่งสัญลักษณ์ตัวแทนเท่านั้นที่ได้รับอนุญาตในส่วนซ้ายสุด

ถูกต้อง:

*.sub.domain.tld
*.domain.tld

ไม่ถูกต้อง:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

ส่วนหรือที่เรียกว่า "ฉลาก" เป็นองค์ประกอบปิดเช่น: *.com(2 ป้ายกำกับ) ไม่ตรงกันlabel.label.com(3 ป้ายกำกับ) - สิ่งนี้ได้ถูกกำหนดไว้แล้วใน RFC 2818

ก่อนปี 2011 ใน RFC 2818 การตั้งค่ายังไม่ชัดเจน:

ข้อมูลจำเพาะสำหรับเทคโนโลยีแอปพลิเคชันที่มีอยู่ไม่ชัดเจนหรือสอดคล้องกันเกี่ยวกับตำแหน่งที่อนุญาตของอักขระตัวแทน

สิ่งนี้มีการเปลี่ยนแปลงด้วย RFC 6125 จาก 2011 (6.4.3):

ลูกค้าไม่ควรพยายามจับคู่ตัวบ่งชี้ที่นำเสนอซึ่งอักขระตัวแทนจะประกอบด้วยป้ายกำกับอื่นนอกเหนือจากป้ายกำกับที่อยู่ด้านซ้ายสุด (เช่นไม่ตรงกับแถบ *. example.net)

Daniel W.
แหล่งที่มา
2

แม้ว่าฉันจะไม่ได้ดูคำถามของคุณ แต่ฉันเพิ่งอ่านบางอย่างเกี่ยวกับเรื่องนี้นาทีที่ผ่านมา:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

สิ่งนี้อธิบายว่าคุณไม่สามารถใช้เครื่องหมายดอกจันคู่ได้

แก้ไข

เพิ่มส่วนหนึ่งของเครื่องหมายคำพูดในกรณีที่เว็บไซต์หยุดทำงานหรืออ่านนานเกินไป

สิ่งที่เป็นไปไม่ได้คือการพยายามครอบคลุมทั้งโดเมนย่อยของ mail.xyz.com และ photos.xyz.com ด้วย Wildcard หนึ่งรายการ CA หรือผู้ให้บริการออกใบรับรองสามารถให้ใบรับรอง SSL กับ (*) เดียวเท่านั้น คุณไม่สามารถสร้างการร้องขอใบรับรองการลงนามที่ดูเหมือน .xyz.com เพื่อพยายามครอบคลุมกลุ่มโดเมนย่อยระดับมากกว่าหนึ่งวินาที

เหตุผลทำไม

สาเหตุที่เป็นไปไม่ได้ที่จะมีใบรับรอง SSL "double wildcard" คือตัวยึดตำแหน่งเครื่องหมายดอกจันสามารถยืนได้เพียงหนึ่งฟิลด์ในชื่อที่ส่งไปยัง CA ท้ายที่สุด CA ต้องตรวจสอบข้อมูลทั้งหมดและตัวแปรมากเกินไปในใบรับรองจะลดความปลอดภัยและความมั่นใจที่ใบรับรองมอบให้

นอกจากนี้และนี่เป็นสิ่งสำคัญสำหรับผู้จัดการด้านไอทีและเจ้าของเว็บไซต์เช่นกันความปลอดภัยภายในไม่สามารถถูกทำลายได้อย่างง่ายดาย โปรดทราบว่าปัญหาด้านความปลอดภัยทุกรูปแบบเมื่อมีการรับรอง SSL มีแนวโน้มที่จะเกิดขึ้นได้มากจากการละเมิดความปลอดภัยภายในซึ่งผู้ที่สามารถเข้าถึงคีย์ส่วนตัวและใบรับรองสามารถตั้งค่าเว็บไซต์ย่อยที่ครอบคลุมโดยจริง SSL

deadManN
แหล่งที่มา
1
ฉันต้องทราบว่าแนวทางการตอบคุณต้องอ้างส่วนสำคัญของบทความในเนื้อหาคำตอบของคุณ เพราะลิงค์นี้อาจเปลี่ยนแปลงได้ตลอดเวลาหรือบทความอาจถูกลบ ไม่เช่นนั้นอาจไม่ได้รับการพิจารณาคำตอบ
sr9yar
0

สิ่งที่คุณสามารถทำได้คือ * .domain.com และ * .www.domain.com หรือ * .mail.domain.com ฉันไม่เคยเห็น *. *. domain.com ในเว็บไซต์ผลิต

คุณสามารถรับไวลด์การ์ด (* .domain.com) แต่คุณจะต้อง * .www.domain.com เป็นรายการหัวเรื่องอื่นเพื่อให้สามารถใช้งานได้ บริษัท เดียวที่ฉันรู้ว่าข้อเสนอนี้คือ ssl.com และ digicert อาจมีคนอื่น แต่ฉันไม่แน่ใจ

หนุ่มเบลค
แหล่งที่มา
ด้วย allowencrypt คุณสามารถออกไวลด์การ์ดได้เช่นกัน และอนุญาตให้มีหลาย SAN ดังนั้นคุณสามารถกำหนดชุดของ SAN -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.comเช่น
fragmentedreality
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.