Sertifikat wildcard SSL untuk subdomain tingkat kedua

93

Saya ingin tahu apakah ada sertifikat yang mendukung wildcard ganda *.*.example.com? Saya baru saja menelepon dengan penyedia SSL saya saat ini (register.com) dan gadis di sana mengatakan mereka tidak menawarkan hal seperti itu dan dia juga tidak berpikir itu mungkin.

Adakah yang bisa memberi tahu saya jika ini memungkinkan, dan jika browser mendukung ini?

Aleksander Blomskøld
sumber
10
FYI untuk pengunjung masa depan, tidak ada browser yang mendukung sertifikat wildcard ganda ala *.*.example.com2015. Tidak tahu mengapa.
Mahn
@Mahn Lalu apakah Anda harus menulis *.a.a.com, *.b.a.com, *.c.a.com, ... secara manual?
William
1
@LiamWilliam rupanya, saya belum menemukan kombinasi lain yang disukai browser hingga saat ini. Ini menyakitkan.
Mahn
1
@ William ya, tetapi di sisi lain, jangan gunakan .untuk memisahkan hal-hal dalam nama domain Anda yang menjadi satu - domain adalah masalah domain. Mengapa Anda perlu phpmyadmin.serverX.domain.com, ketika phpmyadmin-serverX.domain.comsecara semantik lebih akurat dan lebih mudah ditangani dalam istilah DNS dan TLS.
Daniel W.

Jawaban:

52

RFC2818 menyatakan:

Jika lebih dari satu identitas dari jenis yang diberikan hadir dalam sertifikat (misalnya, lebih dari satu nama dNSName, kecocokan dalam salah satu set dianggap dapat diterima.) Nama dapat berisi karakter wildcard * yang dianggap cocok dengan satu pun komponen nama domain atau fragmen komponen. Misalnya, * .a.com cocok dengan foo.a.com tetapi tidak bar.foo.a.com. f * .com cocok dengan foo.com tetapi tidak dengan bar.com.

Internet Explorer bertindak sesuai dengan yang digariskan oleh RFC, di mana setiap level membutuhkan sertifikat wildcard-nya sendiri. Firefox senang dengan satu * .domain.com tempat * cocok dengan apa pun di depan domain.com, termasuk other.levels.domain.com, tetapi juga akan menangani jenis *. *. Domain.com juga.

Jadi, untuk menjawab pertanyaan Anda: itu mungkin, dan didukung oleh browser.

Alex
sumber
5
Terima kasih! Pengujian pada FF 3.5.7 pagi ini menunjukkan bahwa itu sekarang sesuai dengan RFC dengan cara yang sama seperti IE. Itu menolak sertifikat .example.com saya untuk foo.bar.example.com. Jadi hanya untuk memperjelas semua yang saya butuhkan adalah sertifikat wildcard lain yang memiliki *. .example.com sebagai Nama Umum?
7
Saya baru saja menguji FF 3.5 dan IE 8 dan tidak akan menerima sertifikat . .example.com. Saya pikir satu-satunya solusi adalah dengan menggunakan beberapa sertifikat wildcard.
Robert
9
Siapa yang menulis standar ini? Ini tidak berharga. Juga buang-buang uang jika Anda bertanya kepada saya. Apa yang dilindunginya?
Brent Pabst
6
Jika wildcard ganda menyebabkan masalah, apakah subdomain spesifik di sekitar wildcard berfungsi? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, saya baru saja menguji, dan Firefox menunjukkan halaman Koneksi Anda tidak aman saat mengakses sub1.sub2.mydomain.comdengan *.mydomain.comsertifikat, meskipun mempertimbangkan sertifikat yang valid untuk sub2.mydomain.com. Jadi, seperti yang bisa saya katakan, jawaban ini memang salah, setidaknya hari ini. Mempertimbangkan bahwa ada juga komentar yang diposting dari seseorang yang mengatakan bahwa mereka tidak dapat mereproduksi perilaku pada hari jawaban itu diposting , saya ragu apakah itu pernah benar.
Mark Amery
20

Hanya untuk mengonfirmasi FF dan IE 8 TIDAK akan menerima sertifikat dalam formulir *.*.example.commeskipun secara teknis dimungkinkan untuk membuatnya.


sumber
2
Maka Anda harus menulis *.a.a.com, *.b.a.com, *.c.a.commanual?
William
2
@ William saya pikir begitu. Ini sangat disayangkan.
Franklin Yu
17

Ketika sertifikat SSL Wildcard dikeluarkan untuk * .domain.com, Anda dapat mengamankan jumlah sub domain Anda yang tidak terbatas melalui domain utama.

Sebagai contoh:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

Jika sertifikat Wildcard SSL dikeluarkan pada * .sub1.domain.com, dalam hal ini Anda dapat mengamankan semua subdomain tingkat kedua yang terdaftar di bawah sub1.domain.com

Sebagai contoh:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

Jika Anda ingin mengamankan sejumlah sub domain dan domain tingkat kedua, maka Anda dapat memilih multi domain SSL yang dapat mengamankan hingga 100 nama domain dengan satu sertifikat.

Sebagai contoh:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Anda harus mengetahui persyaratan aktual Anda untuk memilih sertifikat SSL.

Jason Parms
sumber
1
Ini adalah pemahaman yang baik tetapi tidak menjawab pertanyaan. Anda menyebutkan semua kombinasi tapi tidak satu OP meminta ( . .Domain.com).
Daniel W.
8

Ini bisa bernilai putaran tes baru dengan versi browser saat ini.

Hasil cek cepat pribadi saya di: Firefox 20.0.1 tampaknya masih tidak mendukung ini. Itu menunjukkan:

Sertifikat ini hanya berlaku untuk *. * .Domainku.com

... saat berselancar ke https://svn.project.mydomain.com .

Internet Explorer 9.0:

Sertifikat situs web ini dibuat untuk alamat lain

Catatan:

  • Kedua pernyataan itu diterjemahkan dari Bahasa Jerman ke Bahasa Inggris, oleh saya. Mungkin saya tidak menggunakan frasa yang sama dengan yang ditampilkan oleh versi browser Inggris.
  • Saya menggunakan sertifikat yang ditandatangani sendiri. Yang menyebabkan browser untuk menampilkan kalimat peringatan tambahan. Saya berasumsi bahwa kutipan di atas juga akan ditampilkan dengan penerbit sertifikat tepercaya. Memverifikasi ini di luar lingkup "pemeriksaan cepat" saya.
Klaus duri
sumber
7

Saya baru saja melakukan penelitian tentang ini karena saya memiliki persyaratan yang sama untuk mengamankan subdomain juga dan menemukan solusi dari DigiCert.

Sertifikat ini mengatakan akan mendukung yourdomain.com, *.yourdomain.com, *.*.yourdomain.comdan sebagainya.

Saat ini agak mahal, tetapi harapannya adalah bahwa penyedia lain akan mulai menawarkan sertifikat serupa dan mengurangi harga.

F21
sumber
ini pendekatan yang tepat. sertifikat wildcard yang didukung beberapa nama (wildcard)
drAlberT
Kami memiliki sertifikat ini dari Digicert. Ini mendukungnya, tetapi tidak secara default. Anda harus membuat sertifikat duplikat dan menentukan semua subdomain di sertifikat. Ini tidak otomatis.
L_7337
7

Semua jawaban di sini sudah usang atau tidak sepenuhnya benar, tidak mempertimbangkan RFC 6125 dari 2011.

Menurut RFC 6125 , hanya satu wildcard yang diperbolehkan dalam fragmen paling kiri.

Sah:

*.sub.domain.tld
*.domain.tld

Tidak valid:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Sebuah fragmen, atau juga disebut "label", adalah komponen tertutup, misalnya: *.com(2 label) tidak cocok label.label.com(3 label) - ini telah didefinisikan dalam RFC 2818.

Sebelum 2011 di RFC 2818, pengaturannya tidak sepenuhnya jelas:

Spesifikasi untuk teknologi aplikasi yang ada tidak jelas atau konsisten tentang lokasi yang diizinkan dari karakter wildcard.

Ini telah berubah dengan RFC 6125 dari 2011 (6.4.3):

Klien TIDAK HARUS berusaha untuk mencocokkan pengidentifikasi yang disajikan di mana karakter wildcard terdiri dari label selain label paling kiri (misalnya, jangan cocokkan bilah. *. Example.net).

Daniel W.
sumber
2

walaupun saya tidak melihat pertanyaan Anda, saya kebetulan membaca sesuatu tentang itu beberapa menit yang lalu:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

ini menjelaskan bahwa Anda tidak dapat menggunakan tanda bintang ganda


Sunting

Tambahkan bagian dari kutipan jika situs web turun atau terlalu lama untuk dibaca

Yang tidak mungkin adalah mencoba untuk menutupi subdomain mail.xyz.com dan photos.xyz.com dengan satu Wildcard. CA atau Otoritas Sertifikat hanya dapat menyediakan satu sertifikat SSL dengan satu (*). Anda tidak dapat membuat Permintaan Penandatanganan Sertifikat yang terlihat seperti . .xyz.com untuk mencoba mencakup lebih dari satu grup subdomain tingkat kedua.

Alasan mengapa

Alasan tidak mungkin untuk memiliki sertifikat SSL "wildcard ganda" adalah bahwa placeholder, asterisk, hanya dapat berdiri di satu bidang dalam nama yang diserahkan kepada CA. Bagaimanapun, CA harus memverifikasi semua informasi, dan terlalu banyak variabel dalam sertifikat akan mengurangi keamanan dan kepercayaan yang diberikan sertifikat.

Selain itu, dan ini penting bagi manajer TI dan pemilik situs web juga, keamanan internal tidak dapat dikompromikan dengan mudah. Ingatlah bahwa semua jenis masalah keamanan setelah sertifikat SSL diterapkan lebih mungkin terjadi dari pelanggaran keamanan internal di mana seseorang dengan akses ke kunci pribadi dan sertifikat dapat membuat situs web subdomain yang sebenarnya dilindungi oleh SSL.

deadManN
sumber
1
Saya harus mencatat bahwa panduan menjawab mengharuskan Anda untuk mengutip bagian penting dari sebuah artikel di badan jawaban Anda. Karena tautan ini dapat berubah seiring waktu atau artikel mungkin terhapus. Kalau tidak, itu mungkin tidak dianggap sebagai jawaban.
sr9yar
0

Yang dapat Anda lakukan adalah sesuatu seperti * .domain.com dan kemudian * .www.domain.com atau * .mail.domain.com. Saya belum pernah melihat *. *. Domain.com di situs produksi.

Anda bisa mendapatkan wildcard (* .domain.com) tetapi Anda juga membutuhkan * .www.domain.com sebagai entri nama subjek alternatif untuk membuatnya berfungsi. Satu-satunya perusahaan yang saya tahu menawarkan ini adalah ssl.com dan digicert. Mungkin ada yang lain tapi saya tidak yakin.

Colt Blake
sumber
dengan letsencrypt Anda dapat mengeluarkan sertifikat wildcard juga. Dan mereka memungkinkan untuk beberapa SAN. Jadi, Anda dapat menentukan satu set SAN. Misalnya -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality