Frage Wildcard-SSL-Zertifikat für die Subdomain der zweiten Ebene


Ich würde gerne wissen, ob Zertifikate eine doppelte Wildcard wie unterstützen *.*.example.com? Ich war gerade mit meinem derzeitigen SSL-Anbieter (register.com) am Telefon und das Mädchen dort sagte, dass sie nichts dergleichen anbieten und dass sie es sowieso nicht für möglich gehalten hätte.

Kann mir jemand sagen, ob das möglich ist und ob Browser dies unterstützen?


75
2018-01-19 14:34


Ursprung


Für zukünftige Besucher, kein Browser unterstützt ein doppeltes Wildcard-Zertifikat ala *.*.example.com Stand 2015. Keine Ahnung warum. - Mahn
@Mahn Dann musst du schreiben *.a.a.com,*.b.a.com,*.c.a.com, ... manuell? - William
@LiamWilliam anscheinend habe ich keine anderen Kombinationen gefunden, die Browser bis jetzt mögen. Es ist ätzend. - Mahn


Antworten:


RFC2818 Zustände:

Wenn mehr als eine Identität eines gegebenen   Typ ist im Zertifikat vorhanden   (z. B. mehr als ein dNSName-Name, a   Spiel in irgendeinem der Menge ist   als akzeptabel angesehen werden.) Namen können   enthält das Platzhalterzeichen * which   gilt als übereinstimmend mit jedem einzelnen   Domain Name Komponente oder Komponente   Fragment. Zum Beispiel passt *. A.com   foo.a.com aber nicht bar.foo.a.com.   f * .com stimmt mit foo.com überein, aber nicht   bar.com.

Internet Explorer verhält sich wie im RFC beschrieben, wobei jede Ebene ein eigenes, mit einem Balken versehenes Zertifikat benötigt. Firefox ist glücklich mit einem einzigen * .domain.com, wobei * allem vor domain.com entspricht, einschließlich other.levels.domain.com, aber auch die *. *. Domain.com-Typen.

Also, um Ihre Frage zu beantworten: Es ist möglich, und unterstützt von Browsern.


46
2018-01-19 15:36



Vielen Dank! Das Testen auf FF 3.5.7 hat heute Morgen gezeigt, dass es jetzt RFC-konform ist wie IE. Es hat meine abgelehnt .example.com cert für foo.bar.example.com. Also nur um alles zu klären, was ich brauche, ist ein anderes Wildcard-Zertifikat, das * hat..example.com als allgemeiner Name?
richtig, basierend darauf würden Sie ein *. *. example.com benötigen - Alex
Ich habe gerade in FF 3.5 und IE 8 getestet und keiner würde ein Zertifikat dafür akzeptieren ..beispiel.com. Ich denke, die einzige Lösung ist die Verwendung mehrerer Platzhalterzertifikate. - Robert
Wer hat diesen Standard geschrieben? Das ist wertlos. Auch eine Verschwendung von Geld, wenn Sie mich fragen. Was schützt es? - Brent Pabst
Wenn Doppel-Wildcards Probleme verursachen, funktionieren bestimmte Subdomains um Wildcards herum? ala SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com - rcoup


Nur um zu bestätigen, dass FF und IE 8 keine Zertifikate im Formular akzeptieren *.*.example.com obwohl es technisch möglich ist, sie zu erstellen.


18
2018-01-27 16:36



Dann musst du schreiben *.a.a.com,*.b.a.com,*.c.a.com manuell? - William
@William Ich denke schon. Das ist wirklich bedauerlich. - Franklin Yu


Wenn das Wildcard-SSL-Zertifikat für * .domain.com ausgestellt wird, können Sie Ihre unbegrenzte Anzahl von Subdomains über die Hauptdomäne sichern.

Zum Beispiel:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • Unter * .domain.com

Wenn das Wildcard-SSL-Zertifikat auf * .sub1.domain.com ausgestellt wird, können Sie in diesem Fall alle Subdomains der zweiten Ebene sichern, die unter der Domain sub1.domain.com aufgeführt sind

Zum Beispiel:

  • aaa1.domain.com
  • bbb1.domain.com
  • ccc.sub1.domain.com
  • *** .unter1.domain.com

Wenn Sie eine begrenzte Anzahl von Sub-Domains und Second-Level-Domains sichern möchten, können Sie Multi-Domain-SSL wählen, das bis zu 100 Domainnamen mit einem einzigen Zertifikat sichern kann.

Zum Beispiel:

  • domain.com
  • sub1.domain.com
  • aaa2.domain.com
  • domain2.net
  • domain3.org

Sie sollten Ihre tatsächlichen Anforderungen kennen, um ein SSL-Zertifikat zu wählen.


16
2018-01-08 12:19



Das ist ein gutes Verständnis, aber beantwortet die Frage nicht. Sie haben alle Kombinationen erwähnt, aber nicht die, die das OP gewünscht hat (..domain.com). - DanFromGermany


Dies könnte eine neue Runde von Tests mit aktuellen Browserversionen wert sein.

Mein persönlicher Quickcheck führt dazu: Firefox 20.0.1 scheint das immer noch nicht zu unterstützen. Es zeigt:

Dieses Zertifikat gilt nur für *. *. Mydomain.com

... beim Surfen nach https://svn.project.mydomain.com.

Internet Explorer 9.0:

Das Zertifikat dieser Website wurde für eine andere Adresse erstellt

Anmerkungen:

  • Beide Aussagen wurden von mir ins Deutsche übersetzt. Wahrscheinlich habe ich nicht die gleichen Sätze benutzt, wie die englischen Browserversionen zeigen würden.
  • Ich habe ein selbstsigniertes Zertifikat verwendet. Was dazu führte, dass die Browser einen zusätzlichen Warnsatz zeigten. Ich nehme an, dass die obigen Zitate auch bei einem vertrauenswürdigen Zertifikatsaussteller angezeigt würden. Dies zu überprüfen, gehörte nicht zu meinem "Quick Check".

8
2017-09-17 16:19





Ich habe gerade einige Nachforschungen darüber angestellt, da ich die gleichen Anforderungen habe, um auch Sub - Subdomains zu sichern, und stieß auf eine Lösung von DigiCert.

Dieses Zertifikat sagt, dass es unterstützt yourdomain.com, *.yourdomain.com, *.*.yourdomain.com und so weiter.

Es ist derzeit ziemlich teuer, aber die Hoffnung ist, dass andere Anbieter ähnliche Zertifikate anbieten und die Preise senken werden.


7
2018-01-06 23:54



Das ist der richtige Ansatz. ein Platzhalter-Cert, der mehrere (Platzhalter) Namen unterstützt - drAlberT
Wir haben dieses Zertifikat von digicert. Es unterstützt es, aber nicht standardmäßig. Sie müssen ein doppeltes Zertifikat erstellen und alle Subdomänen im Zertifikat angeben. Es ist nicht automatisch. - L_7337


Obwohl ich nicht auf deine Frage eingehe, habe ich vor ein paar Minuten etwas darüber gelesen:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

Dies erklärt, dass Sie nicht Doppelstern verwenden können


1
2018-05-14 06:52





Was Sie tun können, ist etwas wie * .domain.com und dann * .www.domain.com oder * .mail.domain.com. Ich habe noch nie *. *. Domain.com auf einer Produktionsstätte gesehen.

Sie können einen Platzhalter (* .domain.com) erhalten, aber Sie benötigen auch * .www.domain.com als alternativen Namen für den Antragstellernamen, um dies zum Funktionieren zu bringen. Die einzigen Firmen, die ich kenne, sind ssl.com und digicert. Vielleicht gibt es andere, aber ich bin mir nicht sicher.


0
2018-02-12 17:25