ชื่อสามัญของ Wildcard SSL - สามารถเรียกชื่ออะไรได้หรือไม่


34

ฉันแค่สงสัยว่าใบรับรอง SSL แบบ wildcard จำเป็นต้องมีชื่อสามัญที่มีชื่อโดเมนของไซต์ที่ต้องใช้ใบรับรอง SSL หรือไม่

ตัวอย่างเช่นสำหรับต่อไปนี้:

ชื่อโดเมน: testdomain.com

ไซต์ย่อย:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

ฉันจำเป็นต้องมีใบรับรองไวด์การ์ดในชื่อสามัญ*.testdomain.comหรือไม่?


serverfault.com อาจเป็นสถานที่ที่ดีกว่าสำหรับคำถามนี้

คำตอบ:


38

ใช่ชื่อสามัญของคุณควรเป็น * .yourdomain.com สำหรับใบรับรองไวด์การ์ด

โดยทั่วไปชื่อทั่วไปคือสิ่งที่ระบุว่าใบรับรองของคุณเป็นโดเมนแบบใดจึงต้องระบุโดเมนจริง

การชี้แจง: ไม่ควร "มี" ชื่อโดเมนของเว็บไซต์ แต่ควรเป็นโดเมนของเว็บไซต์ ฉันเดาว่าคำถามของคุณไม่มีความแตกต่างฉันแค่ต้องการชี้แจงในกรณีที่มีความเข้าใจผิดว่าโดเมนควรจะเป็นอะไรหรือจะใช้ใบรับรองอะไร


4

ที่จริงแล้วคุณควรใช้dnsNameรายการในsubjectAltNameส่วนของใบรับรองเพื่อระบุ FQDNs subjectที่ไม่ได้เป็นส่วนหนึ่งของ การใช้subjectเพื่อวัตถุประสงค์นี้เลิกใช้แล้วเนื่องจาก RFC 2818 ได้รับการเผยแพร่ในปี 2000 ส่วนที่อ้างถึง3.1 :

หากส่วนขยาย subjectAltName ประเภท dNSName มีอยู่นั้นจะต้องใช้เป็นข้อมูลประจำตัว มิฉะนั้นจะต้องใช้ฟิลด์ชื่อสามัญ (เฉพาะส่วนใหญ่) ในฟิลด์ชื่อเรื่องของใบรับรอง แม้ว่าการใช้ชื่อสามัญนั้นเป็นแนวทางปฏิบัติที่มีอยู่ แต่ก็ไม่สนับสนุนและผู้รับรองจะได้รับการสนับสนุนให้ใช้ dNSName แทน

กรณีเดียวที่เนื้อหาของsubjectมีความเกี่ยวข้องในบริบทของการตรวจสอบความถูกต้องใบรับรองเซิร์ฟเวอร์คือถ้าไม่มีdnsNameรวมอยู่ในsubjectAltNameกรณีที่ถูกคัดค้านในช่วง 17 ปีที่ผ่านมาในขณะที่เขียน

การใช้ใบรับรอง wildcard เลิกใช้แล้วดังแสดงในส่วน 7.2 ของ RFC 6125 :

เอกสารนี้ระบุว่าอักขระตัวแทน '*' ไม่ควรรวมอยู่ในตัวระบุที่นำเสนอ แต่อาจถูกตรวจสอบโดยแอปพลิเคชันไคลเอนต์ (ส่วนใหญ่เพื่อความเข้ากันได้ย้อนหลังกับโครงสร้างพื้นฐานที่ปรับใช้)

การใช้ไพรเวตคีย์เดียวกันสำหรับบริการต่างๆมักถือว่าเป็นการปฏิบัติที่ไม่ดี หากหนึ่งในบริการถูกทำลายการสื่อสารจากบริการอื่น ๆ จะมีความเสี่ยงและคุณจะต้องเปลี่ยนคีย์ (และใบรับรอง) สำหรับบริการทั้งหมด

ฉันแนะนำ RFC 6125 เป็นแหล่งข้อมูลที่ดีในเรื่องนี้


"และดังนั้นจึงเป็นใบรับรองตัวแทน": คุณช่วยอธิบายรายละเอียดได้ไหม? dnsNameสามารถมีโดเมนไวด์การ์ด นอกจากนี้สิ่งที่ควรจะเป็นในsubjectกรณีที่?
WoJ

มีลักษณะที่ RFC 6125 ส่วนที่1.5และ7.2 ตราบใดที่subjectAltNameมีอย่างน้อยหนึ่งdnsNameเนื้อหาของเนื้อหาsubjectนั้นไม่เกี่ยวข้องในบริบทของการตรวจสอบใบรับรอง
Erwan Legrand

@WoJ ฉันได้แก้ไขคำตอบของฉันแล้ว ฉันหวังว่าทั้งหมดนี้จะชัดเจนขึ้น
Erwan Legrand

3

ใช่ Wildcard SSL Certificate เป็นทางออกที่ดีที่สุดตามความต้องการของคุณ ด้วยใบรับรอง Wildcard คุณจะสามารถปกป้องข้อมูลของผู้เยี่ยมชมได้ ไม่ว่าหน้าใดในเว็บไซต์ของคุณจะถูกส่งไป ใบรับรองไวด์การ์ดรับรองความปลอดภัยไม่ จำกัด จำนวนโดเมนย่อยที่ใช้ชื่อโดเมนเดียวกัน

การติดตั้งใบรับรองไวด์การ์ดเดียวกันในโดเมนย่อยและเซิร์ฟเวอร์ทั้งหมดส่งความเสี่ยงแบบบิวด์อิน: หากเซิร์ฟเวอร์หรือโดเมนย่อยใดโดเมนหนึ่งถูกบุกรุกโดเมนย่อยทั้งหมดจะถูกบุกรุกเท่า ๆ กัน ตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณได้รับการปกป้องด้วยการป้องกันหลายระดับจากแรงกดดันภายนอกและภายในทั้งหมด

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.