Haruskah sertifikat wildcard SSL mengamankan domain root dan juga sub-domain?

81

Saya mengajukan pertanyaan ini, karena Comodo memberi tahu saya bahwa sertifikat wildcard untuk * .example.com juga akan mengamankan domain root example.com. Jadi dengan satu sertifikat, baik my.example.com dan example.com diamankan tanpa peringatan dari browser.

Namun, ini bukan masalahnya dengan sertifikat yang telah saya berikan. Sub-domain saya diamankan dengan baik dan tidak memberikan kesalahan, tetapi domain root memunculkan kesalahan di browser, mengatakan bahwa identifikasi tidak dapat diverifikasi.

Ketika saya membandingkan sertifikat ini dengan skenario serupa lainnya, saya melihat bahwa dalam skenario yang berfungsi tanpa kesalahan, Nama Alternatif Subjek (SAN) mencantumkan * .example.com dan example.com, sedangkan sertifikat terbaru dari Comodo hanya mencantumkan *. example.com sebagai Nama Umum dan BUKAN example.com sebagai Nama Alternatif Subjek.

Adakah yang bisa mengkonfirmasi / mengklarifikasi bahwa domain root harus terdaftar dalam rincian SAN jika juga harus diamankan dengan benar?

Ketika saya membaca ini: http://www.digicert.com/subject-alternative-name.htm Tampaknya SAN harus mencantumkan keduanya agar berfungsi sebagaimana yang saya perlukan. Apa pengalaman anda

Terima kasih banyak.

Josswinn
sumber

Jawaban:

72

Ada beberapa ketidakkonsistenan antara implementasi SSL tentang bagaimana mereka cocok dengan wildcard, namun Anda akan membutuhkan root sebagai nama alternatif agar bisa bekerja dengan sebagian besar klien.

Untuk *.example.comsertifikat,

  • a.example.com harus lulus
  • www.example.com harus lulus
  • example.com tidak boleh lewat
  • a.b.example.com dapat lulus tergantung pada implementasi (tetapi mungkin tidak).

Pada dasarnya, standar mengatakan bahwa karakter tersebut *harus sesuai dengan 1 atau lebih karakter non-titik, tetapi beberapa implementasi memungkinkan sebuah titik.

Jawaban kanonik harus dalam RFC 2818 (HTTP Over TLS) :

Pencocokan dilakukan menggunakan aturan pencocokan yang ditentukan oleh [RFC2459]. Jika lebih dari satu identitas dari jenis yang diberikan hadir dalam sertifikat (misalnya, lebih dari satu nama dNSName, kecocokan dalam salah satu set dianggap dapat diterima.) Nama dapat berisi karakter wildcard * yang dianggap cocok dengan satu pun komponen nama domain atau fragmen komponen. Misalnya, *.a.comcocok dengan foo.a.com tetapi tidak bar.foo.a.com. f*.comcocok dengan foo.com tetapi tidak bar.com.

RFC 2459 mengatakan:

  • Karakter wildcard "*" DAPAT digunakan sebagai komponen nama paling kiri dalam sertifikat. Misalnya, *.example.comakan cocok dengan a.example.com, foo.example.com, dll. Tetapi tidak akan cocok dengan example.com.

Jika Anda memerlukan sertifikat untuk berfungsi untuk example.com, www.example.com dan foo.example.com, Anda memerlukan sertifikat dengan subjectAltNames sehingga Anda memiliki "example.com" dan "* .example.com" (atau contoh .com dan semua nama lain yang mungkin perlu Anda cocokkan).

freiheit
sumber
13

Anda benar, domain root harus nama alternatif agar validasi.

Shane Madden
sumber
6

Setiap penyedia SSL yang pernah saya gunakan akan secara otomatis menambahkan domain root sebagai Nama Alternatif Subjek ke sertifikat SSL wildcard, sehingga DOMAIN.COM akan bekerja secara otomatis untuk sertifikat wildcard * .DOMAIN.COM.

pengguna2001798
sumber
8
Ini tidak berlaku untuk Manajer Sertifikat AWS pada 2017-09-20.
pho3nixf1re
Tidak ada "root" domain untuk sertifikat SAN yang dapat mengamankan beberapa domain root.
Jez
-3

Sertifikat wildcard dihasilkan secara ideal untuk * .example.com Untuk mengamankan sub-domain dan domain Anda dengan sertifikat ini, yang perlu Anda lakukan adalah menginstal sertifikat yang sama di server yang menunjuk ke domain ini.

Misalnya, Anda memiliki sertifikat wildcard untuk * .example.com one.example.com - server 1 example.com - server 2

Anda perlu menginstal sertifikat ini di server 1 dan server 2.

kacang terampil
sumber