1. Inicio
  2. Pregunta y respuesta
  3. SSL comodín en el sub-subdominio

SSL comodín en el sub-subdominio

2010-01-22 22 views
118

tenemos certificado SSL comodín para * .dominio.com, y tener un sitio web con sub1.sub2.domain.comSSL comodín en el sub-subdominio

Safari 4.0.4 MacOSX aparece un error de certificado (presumiblemente debido a la interpretación de comodines), mientras que safari 4 en windows no lo hace.

También el comportamiento de ie8 es mixto en el mejor de los casos, algunos ie8 no muestran el error de certificado y otros no.

¿Qué causa este extraño comportamiento en Safari e IE?

Fuente

2010-01-22 porto alet

+4

acaba de darse cuenta de este problema después de comprar un nuevo certificado de 2 años ... – Rafa

Respuesta

13

El comodín solo se aplica a la primera parte (desde la izquierda) de su dominio. Por lo tanto, necesitará un certificado para * .sub2.domain.com

Si quiere decir que tiene sub1.domain.com y sub2.domain.com, entonces debería funcionar.

Fuente

2011-05-30 17:46:20 JAG

143

Un certificado SSL comodín para * .example.net coincidirá sub.example.net pero no sub.sub.example.net.

De RFC 2818:

Matching se realiza utilizando las reglas de concordancia especificadas por RFC2459. Si hay más de una identidad de un tipo dado en , el certificado (por ejemplo, más de un nombre dNSName, una coincidencia en cualquiera de los del conjunto se considera aceptable.) Los nombres pueden contener el carácter comodín , carácter * que se considera coincide con cualquier componente de componente o componente de nombre de dominio único . Por ejemplo, *.a.com coincide con foo.a.com pero no bar.foo.a.com. f*.com coincide con foo.com pero no bar.com.

Fuente

2012-03-16 19:51:31

+118

Bueno, eso sin duda es una estafa por parte de las autoridades de certificación. Las autoridades de certificación ya son básicamente una estafa para empezar, para limitar los certificados de comodines, como este es simplemente un movimiento de excavación de oro. –

+3

@Chris No creo, existen varios factores técnicos que restringen dicha regla y obligan a las autoridades de certificación a desarrollar el certificado de seguridad en consecuencia. –

+44

@sophie varios factores técnicos, como que alguien se dio cuenta de que es más rentable vender certificados de infinito que permitir 1 certificado para cubrir cada escenario hasta el infinito. –

44

Si necesita un certificado comodín que contiene * .dominio.com sitios y también trabajar con sub1.sub2.domain.com u otro dominio como * .domain2.com, puede resolver que con un solo certificado comodín con lo que se llama una extensión de nombre alternativo del sujeto (SAN) para cada uno de los otros subdominios secundarios. Un certificado SAN no es solo para múltiples nombres de host específicos, también se puede crear para entradas de comodines.

Por ejemplo, * .domain.com, sub1.sub2.domain.com y * .domain2.com tendrían un Nombre común de * .domain.com luego adjuntaría un nombre alternativo de sujeto de ambos *. dominio2.com y * .sub2.domain.com. Puede depender de la Autoridad Certificadora sobre cómo le cobrarían (o no) por el certificado, pero hay algunos por ahí donde esta oferta está disponible. Además, la compatibilidad con SAN es bastante amplia en el espacio del navegador web. El mejor ejemplo del mundo real de este uso, es el certificado SSL de Google. Abra Google y vea su certificado SSL, verá que funciona para * .google.com, * .youtube.com, * .gmail.com, y mucho más, donde se enumeran como nombres alternativos del sujeto.

Fuente

2013-04-21 03:54:24 RobLL

+6

¿Cuáles son ejemplos de CA que emitirían tales certificados? –

+9

Entonces, sería posible obtener un certificado para '* .DOMAIN.COM' que tiene una SAN para' *. *. DOMAIN.COM' (y posiblemente '*. *. *. DOMAIN.COM') para cubrir estos sub-subdominios y sub-sub-subdominios? –

+2

@SimonEast no es posible. – Nick

Cuestiones relacionadas

 Cuestiones relacionadas