Frage Warum verursacht mein Wildcard-SSL-Zertifikat einen Domain-Mismatch-Fehler in einer Subdomain der zweiten Ebene?


Ich habe einen Server https://www.groups.example.com - In FireFox bekomme ich die "This Connection is Untrusted"Nachricht und die" technischen Details "sagen

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

Welche weiteren Informationen muss ich bereitstellen, um das Problem zu lösen? Nur Bestätigung des Setups, aber 99% sicher, dass es Linux ist und VHOSTS verwendet. Aktualisiert die Frage, sobald dies bestätigt wird.

Ist es die Tatsache, dass www.groups.example.com 2 Ebenen von Subdomains hat?

Der Emittent ist DigiCert


18
2017-11-18 14:46


Ursprung


Ich bin mir sicher, dass es die beiden Ebenen der Subdomain sind, die das Problem darstellen, und ich bin mir ziemlich sicher, dass dies eine doppelte Frage ist - aber ich kann die ursprüngliche Frage im Moment nicht beantworten. - MadHatter
Sie können keine Subdomäne des Platzhalterteils verwenden und eine Übereinstimmung haben. Sie müssten SANs verwenden. Außerdem, mydomain.com ist nicht das Gleiche wie example.org. - gparent
@gparent Es ist in der Regel eine gute Idee, sich den Bearbeitungsverlauf einer Frage anzusehen, wenn Sie eine solche Diskrepanz feststellen. In diesem Fall war ich derjenige, der eine Instanz von mydomain.com als ich den Posten repariert habe. (Wenn man Domain-Namen pflegt, sollte man immer benutzen example.[com|org|net] anstatt etwas wie etwas zu erfinden mydomain.com was tatsächlich existiert, aber nicht zum Poster gehört.) - Jenny D
@JennyD: +1 von mir! Ein anderes, wenn ich könnte, für den Punkt über Munging Domain-Namen (aber besser ist es, sie überhaupt nicht zu redigieren). - MadHatter
@gparent Ich stimme definitiv zu, dass die Leute ihren Domain-Namen nicht in erster Linie manipulieren sollten. Aber wenn sie es tun, sollten sie es wenigstens richtig machen. - Jenny D


Antworten:


RFC 2818 in "3.1. Server-Identität" besagt, dass

Namen können den Platzhalter enthalten      Charakter * welches als übereinstimmend mit einem einzelnen Domainnamen betrachtet wird      Komponente oder Komponentenfragment. Z.B., *.a.com Streichhölzer foo.a.com aber      nicht bar.foo.a.com.

Also, es ist die Tatsache, dass es zwei Ebenen von Subdomains ist, dass das Problem ist.


40
2017-11-18 14:53



Hat es jemand anderes amüsant, dass RFC2818 ignoriert? RFC2606 wenn Sie einen Beispiel-Domain-Namen wählen? - MadHatter
Interessant ist auch, dass RFC2818 ist informativ, das vorgeschlagener Standard RFC7230 bezeichnet es als eine Definition. - Esa Jokinen