Question Certificat SSL générique pour le sous-domaine de second niveau


J'aimerais savoir si des certificats prennent en charge un double caractère générique tel que *.*.example.com? Je viens de parler au téléphone avec mon fournisseur SSL actuel (register.com) et la fille là-bas a dit qu'ils n'offraient rien de tel et qu'elle ne pensait pas que c'était possible de toute façon.

Quelqu'un peut-il me dire si cela est possible et si les navigateurs le prennent en charge?


75
2018-01-19 14:34


origine


FYI pour les futurs visiteurs, aucun navigateur ne supporte un double certificat générique ala *.*.example.com à partir de 2015. Aucune idée pourquoi. - Mahn
@Mahn Ensuite, vous devez écrire *.a.a.com,*.b.a.com,*.c.a.com, ... manuellement? - William
@LiamWilliam apparemment, je n'ai pas trouvé d'autres combinaisons que les navigateurs aiment jusqu'à présent. C'est pénible. - Mahn


Réponses:


RFC2818 États:

Si plusieurs identités d'une même   le type est présent dans le certificat   (par exemple, plusieurs noms dNSName, un   correspondre dans l'un de l'ensemble est   considéré comme acceptable.) Les noms peuvent   contient le caractère générique * qui   est considéré comme correspondant à un seul   composant de nom de domaine ou composant   fragment. Ex., * .A.com correspond   foo.a.com mais pas bar.foo.a.com.   f * .com correspond à foo.com mais pas   bar.com.

Internet Explorer se comporte de la manière décrite par le RFC, où chaque niveau a besoin de son propre certificat générique. Firefox est satisfait d’un seul * .domain.com où * correspond à tout ce qui se trouve devant domain.com, y compris other.levels.domain.com, mais gère également les types *. *. Domain.com.

Donc, pour répondre à votre question: c'est possible, et supporté par les navigateurs.


46
2018-01-19 15:36



Je vous remercie! Les tests effectués sur FF 3.5.7 ce matin ont montré que celui-ci est désormais compatible RFC au même titre que IE. Il a rejeté mon .example.com cert pour foo.bar.example.com. Donc, pour clarifier, tout ce dont j'ai besoin est un autre certificat générique qui possède *..example.com comme nom commun?
correct, sur la base de laquelle vous auriez besoin d'un *. *. example.com - Alex
Je viens de tester dans FF 3.5 et IE 8 et aucun d’eux n’accepterait de certificat ..exemple.com. Je pense que la seule solution consiste à utiliser plusieurs certificats génériques. - Robert
Qui a écrit cette norme? Ceci ne vaut rien. Aussi une perte d'argent si vous me demandez. Que protège-t-il? - Brent Pabst
Si les doubles caractères génériques posent des problèmes, des sous-domaines spécifiques autour des caractères génériques fonctionnent-ils? ala SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com - rcoup


Juste pour confirmer, FF et IE 8 n'accepteront PAS les certificats sous la forme *.*.example.com bien qu’il soit techniquement possible de les créer.


18
2018-01-27 16:36



Alors faut-il écrire *.a.a.com,*.b.a.com,*.c.a.com manuellement? - William
@ William je pense que oui. C'est vraiment dommage. - Franklin Yu


Lorsque le certificat SSL Wildcard est émis pour * .domain.com, vous pouvez sécuriser votre nombre illimité de sous-domaines sur le domaine principal.

Par exemple:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sous * .domaine.com

Si le certificat SSL Wildcard est émis sur * .sub1.domain.com, dans ce cas, vous pouvez sécuriser tous les sous-domaines de second niveau répertoriés sous le domaine sub1.domain.com.

Par exemple:

  • aaa.sub1.domaine.com
  • bbb.sub1.domaine.com
  • ccc.sub1.domaine.com
  • ***. sub1.domain.com

Si vous souhaitez sécuriser un nombre limité de sous-domaines et de domaines de second niveau, vous pouvez choisir un SSL multi-domaines pouvant sécuriser jusqu'à 100 noms de domaine avec un seul certificat.

Par exemple:

  • domain.com
  • sub1.domain.com
  • aaa.s22.domaine.com
  • domain2.net
  • domain3.org

Vous devez connaître vos exigences actuelles pour choisir un certificat SSL.


16
2018-01-08 12:19



C'est une bonne compréhension mais ne répond pas à la question. Vous avez mentionné toutes les combinaisons, mais pas celle que le PO a demandée (..domaine.com). - DanFromGermany


Cela pourrait valoir une nouvelle série de tests avec les versions actuelles du navigateur.

Ma vérification rapide personnelle a pour résultat: Firefox 20.0.1 ne semble toujours pas supporter cela. Ça montre:

Ce certificat n'est valable que pour *. *. Mydomain.com

... lorsque vous surfez sur https://svn.project.mydomain.com.

Internet Explorer 9.0:

Le certificat de ce site a été fait pour une autre adresse

Remarques:

  • Les deux déclarations ont été traduites d’allemand en anglais, par moi. Je n'ai probablement pas utilisé les mêmes phrases que les versions anglaises du navigateur.
  • J'ai utilisé un certificat auto-signé. Ce qui a amené les navigateurs à afficher une phrase d’avertissement supplémentaire. Je suppose que les citations ci-dessus seraient également affichées avec un émetteur de certificats de confiance. La vérification était en dehors de la portée de mon "contrôle rapide".

8
2017-09-17 16:19





Je faisais juste quelques recherches à ce sujet car j’ai les mêmes exigences pour sécuriser les sous-domaines et j’ai rencontré un Solution de DigiCert.

Ce certificat dit qu'il soutiendra yourdomain.com, *.yourdomain.com, *.*.yourdomain.com etc.

Il est actuellement plutôt coûteux, mais l’espoir est que d’autres fournisseurs commencent à offrir des certificats similaires et réduisent leurs prix.


7
2018-01-06 23:54



c'est la bonne approche. un certificat générique ayant plusieurs noms (génériques) pris en charge - drAlberT
Nous avons ce certificat de digicert. Il le supporte, mais pas par défaut. Vous devez créer un certificat en double et spécifier tous les sous-domaines du certificat. Ce n'est pas automatique. - L_7337


Bien que je n’examine pas votre question, j’ai lu quelque chose à ce sujet il ya quelques minutes:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

cela explique que vous ne pouvez pas utiliser le double astérisque


1
2018-05-14 06:52





Ce que vous pouvez faire est quelque chose comme * .domain.com, puis * .www.domain.com ou * .mail.domain.com. Je n'ai jamais vu *. *. Domain.com sur un site de production.

Vous pouvez obtenir un caractère générique (* .domain.com), mais vous aurez également besoin de * .www.domain.com comme autre entrée de nom de sujet pour que cela fonctionne. Les seules entreprises que je connaisse offrent ceci, ssl.com et digicert. Il y en a peut-être d'autres mais je ne suis pas sûr.


0
2018-02-12 17:25