Nama umum SSL wildcard - apakah bisa disebut apa saja?

34

Saya hanya ingin tahu apakah sertifikat SSL wildcard perlu memiliki nama umum yang berisi nama domain situs yang memerlukan sertifikat SSL untuk diterapkan.

Misalnya, untuk yang berikut:

Nama domain: testdomain.com

Sub situs:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Apakah saya perlu sertifikat wildcard saya untuk memiliki nama umum *.testdomain.com?

ssl-certificate permainan kata-kata
sumber
serverfault.com mungkin tempat yang lebih baik untuk pertanyaan ini.

Jawaban:

38

Ya, nama umum Anda harus * .domainanda.com untuk sertifikat wildcard.

Pada dasarnya, Nama Umum adalah yang menyatakan domain apa yang cocok untuk sertifikat Anda, sehingga harus menentukan domain sebenarnya.

Klarifikasi: Seharusnya tidak "berisi" nama domain situs, itu harus menjadi domain situs. Saya kira tidak ada perbedaan dalam pertanyaan Anda, saya hanya ingin mengklarifikasi, jika ada kesalahpahaman tentang apa domain seharusnya, atau untuk apa sertifikat akan digunakan.

Daniel Magliola
sumber
4

Sebenarnya, Anda harus menggunakan dnsNameentri di subjectAltNamebagian sertifikat untuk menentukan FQDN, bukan bagian CN dari subject. Penggunaan subjectuntuk tujuan ini telah ditinggalkan sejak RFC 2818 diterbitkan pada tahun 2000. Mengutip bagian 3.1 :

Jika ekstensi subjectAltName tipe dNSName hadir, itu HARUS digunakan sebagai identitas. Jika tidak, bidang Nama Umum (paling spesifik) dalam bidang Subjek sertifikat HARUS digunakan. Meskipun penggunaan Nama Umum adalah praktik yang sudah ada, itu sudah usang dan Otoritas Sertifikasi didorong untuk menggunakan dNSName sebagai gantinya.

Satu-satunya kasus di mana konten subjectrelevan dalam konteks validasi sertifikat server adalah jika tidak ada yang dnsNamedisertakan dalam subjectAltName, kasus yang telah ditinggalkan selama 17 tahun terakhir pada saat penulisan.

Penggunaan sertifikat wildcard sudah tidak berlaku lagi, seperti yang ditunjukkan oleh bagian 7.2 dari RFC 6125 :

Dokumen ini menyatakan bahwa karakter wildcard '*' TIDAK HARUS dimasukkan dalam pengidentifikasi yang disajikan tetapi MUNGKIN diperiksa oleh klien aplikasi (terutama demi kompatibilitas mundur dengan infrastruktur yang digunakan).

Menggunakan kunci pribadi yang sama untuk beberapa layanan biasanya dianggap praktik buruk. Jika salah satu layanan dikompromikan, komunikasi dari layanan lain akan berisiko dan Anda harus mengganti kunci (dan sertifikat) untuk semua layanan.

Saya menyarankan RFC 6125 sebagai sumber informasi yang baik tentang masalah ini.

Erwan Legrand
sumber
"Dan begitu juga sertifikat wildcard": bisakah Anda menjelaskan? dnsNamedapat berisi domain wildcard. Juga, apa yang seharusnya ada dalam subjectkasus itu?
WoJ
Lihatlah RFC 6125 bagian 1.5 dan 7.2 . Selama subjectAltNamemengandung setidaknya satu dnsName, konten subjecttidak relevan dalam konteks verifikasi sertifikat.
Erwan Legrand
@ WoJ Saya telah mengedit jawaban saya. Saya harap ini semua lebih jelas sekarang.
Erwan Legrand
3

Ya, Wildcard SSL Certificate adalah solusi terbaik sesuai kebutuhan Anda. Dengan sertifikat Wildcard Anda akan dapat melindungi informasi pengunjung Anda. Tidak masalah, halaman situs web Anda mana yang dikirimkan. Sertifikat wildcard mengamankan sub domain dalam jumlah tak terbatas yang berbagi nama domain yang sama.

Menginstal sertifikat wildcard yang sama di semua sub-domain & server mentransmisikan risiko bawaan: jika satu server atau sub-domain dikompromikan, semua sub-domain dapat dikompromikan sama. Pastikan situs web Anda dilindungi dengan berbagai tingkat perlindungan dari semua tekanan eksternal dan internal.

Jay Dan
sumber