wildcard ssl pada subdomain [ditutup]

146

kami memiliki sertifikat wildcard ssl untuk * .domain.com, dan memiliki situs web dengan sub1.sub2.domain.com

safari 4.0.4 di MacOsx memunculkan kesalahan sertifikat (mungkin karena interpretasi wildcard), sementara safari 4 pada windows tidak.

juga perilaku ie8 dicampur paling baik, beberapa ie8 tidak menampilkan kesalahan sertifikat dan beberapa tidak.

Apa yang menyebabkan perilaku aneh ini di Safari dan IE?

porto alet
sumber
4
baru menyadari masalah ini setelah membeli sertifikat 2 tahun yang baru ...
Rafa

Jawaban:

192

Sertifikat SSL wildcard untuk * .example.net akan cocok dengan sub.example.net tetapi tidak pada sub.sub.example.net .

Dari RFC 2818 :

Pencocokan dilakukan menggunakan aturan pencocokan yang ditentukan oleh RFC2459 . Jika lebih dari satu identitas dari jenis yang diberikan hadir dalam sertifikat (misalnya, lebih dari satu nama dNSName, kecocokan dalam salah satu set dianggap dapat diterima.) Nama dapat berisi karakter wildcard *yang dianggap cocok dengan satu domain. nama komponen atau komponen fragmen. Misalnya, *.a.comcocok foo.a.comtetapi tidak bar.foo.a.com. f*.comcocok foo.comtapi tidak bar.com.

Elias Torres Arroyo
sumber
5
@ Chris Saya rasa tidak, ada berbagai faktor teknis yang membatasi aturan tersebut dan memaksa otoritas Sertifikat untuk mengembangkan sertifikat keamanan yang sesuai.
51
@sophie berbagai faktor teknis, seperti seseorang menyadari bahwa lebih menguntungkan menjual sertifikat infinity daripada mengizinkan 1 sertifikat untuk mencakup setiap skenario hingga tak terbatas.
Chris Marisic
3
Lihat blackhat.com/presentations/bh-dc-09/Marlinspike/... slide 91 untuk kemungkinan ancaman keamanan dengan sertifikat wildcard. Juga lihat media.blackhat.com/bh-ad-10/Hansen/… slide 38.
Carl
5
@ user1602478: apa saja faktor teknis itu?
iconoclast
5
dapatkah Anda *.*.example.commengamankan sub-domain tingkat pertama dan kedua?
Shane Rowatt
67

Jika Anda memerlukan sertifikat wildcard yang berisi situs * .domain.com dan juga bekerja dengan sub1.sub2.domain.com atau domain lain seperti * .domain2.com, Anda dapat menyelesaikannya dengan sertifikat wildcard tunggal dengan apa yang disebut subjek ekstensi nama alternatif (SAN) untuk masing-masing sub domain lainnya. Sertifikat SAN tidak hanya untuk beberapa nama host tertentu, tetapi juga dapat dibuat untuk entri wildcard.

Misalnya, * .domain.com, sub1.sub2.domain.com, dan * .domain2.com akan memiliki Nama Umum * .domain.com maka Anda akan melampirkan nama alternatif subjek dari * * .domain2.com dan * .sub2.domain.com. Ini mungkin tergantung pada Otoritas Sertifikat tentang bagaimana mereka akan menagih Anda (atau tidak) untuk sertifikat, tetapi ada beberapa di luar sana di mana penawaran ini tersedia. Juga, dukungan SAN cukup luas di ruang browser web. Contoh dunia nyata terbaik dari penggunaan ini, adalah sertifikat SSL Google. Buka google dan lihat sertifikat SSL-nya, Anda akan melihatnya berfungsi untuk * .google.com, * .youtube.com, * .gmail.com, dan banyak lagi yang terdaftar sebagai nama alternatif subjek.

RobLL
sumber
7
Apa contoh CA yang akan menerbitkan sertifikat semacam itu?
Arto Bendiken
14
Jadi apakah mungkin untuk mendapatkan sertifikat untuk *.DOMAIN.COMyang memiliki SAN untuk *.*.DOMAIN.COM(dan mungkin *.*.*.DOMAIN.COM) untuk mencakup sub-subdomain dan sub-subdomain?
Simon East
4
@SimonEast tidak mungkin.
Nick
Ini harus menjadi jawaban yang diterima. @Nick, buka sslshopper.com/ssl-checker.html#hostname=google.com dan lihat bagian SAN
Nehal J Wani
@NehalJWani apa yang harus saya cari?
Nick
18

Wildcard hanya diterapkan pada bagian pertama (dari kiri) domain Anda. Jadi, Anda memerlukan sertifikat untuk * .sub2.domain.com

Jika Anda bermaksud memiliki sub1.domain.com dan sub2.domain.com, maka itu akan berfungsi.

PERASAAN
sumber