Frage Sollte ein Wildcard-SSL-Zertifikat sowohl die Stammdomäne als auch die Subdomains schützen?


Ich stelle diese Frage, weil Comodo mir sagt, dass ein Wildcard-Zertifikat für * .example.com auch die Root-Domain example.com sichert. Mit einem einzigen Zertifikat werden sowohl my.example.com als auch example.com ohne Warnung durch einen Browser gesichert.

Dies ist jedoch bei dem mir zur Verfügung gestellten Zertifikat nicht der Fall. Meine Sub-Domains sind gut gesichert und geben keinen Fehler, aber die Root-Domain wirft einen Fehler im Browser auf und sagt, dass die Identität nicht verifiziert werden kann.

Wenn ich dieses Zertifikat mit anderen ähnlichen Szenarien vergleiche, sehe ich, dass in den Szenarios, die ohne Fehler funktionieren, der alternative Antragstellername (SAN) sowohl * .example.com als auch example.com auflistet, während das aktuelle Zertifikat von Comodo nur * auflistet. example.com als Common Name und NOT example.com als Alternativer Antragstellername.

Kann jemand bestätigen / klarstellen, dass die Root-Domain in SAN-Details aufgeführt werden sollte, wenn sie auch korrekt gesichert werden soll?

Wenn ich das lese: http://www.digicert.com/subject-alternative-name.htm Es scheint, dass das SAN beide auflisten muss, um so zu arbeiten, wie ich es brauche. Was ist deine Erfahrung?

Vielen Dank.


71
2017-09-12 16:12


Ursprung




Antworten:


Es gibt einige Inkonsistenzen zwischen SSL-Implementierungen hinsichtlich der Übereinstimmung mit Platzhaltern. Sie benötigen jedoch den Stamm als alternativen Namen, damit er mit den meisten Clients funktioniert.

Für ein *.example.com Zertifikat,

  • a.example.com sollte passieren
  • www.example.com sollte passieren
  • example.com sollte nicht passieren
  • a.b.example.com kann je nach Implementierung übergeben werden (aber wahrscheinlich nicht).

Im Wesentlichen sagen die Standards, dass die * sollte 1 oder mehr nicht-Punkt Zeichen entsprechen, aber einige Implementierungen erlauben einen Punkt.

Die kanonische Antwort sollte in sein RFC 2818 (HTTP über TLS):

Die Übereinstimmung wird unter Verwendung der Übereinstimmungsregeln durchgeführt, die durch spezifiziert sind     [RFC2459]. Wenn mehr als eine Identität eines bestimmten Typs in vorhanden ist     das Zertifikat (z. B. mehr als ein DNS-Name, eine Übereinstimmung in einem beliebigen     der Satz wird als akzeptabel angesehen.) Namen können den Platzhalter enthalten     Zeichen *, das als übereinstimmend mit einem einzelnen Domänennamen betrachtet wird     Komponente oder Komponentenfragment. Z.B., *.a.com passt foo.a.com aber     nicht bar.foo.a.com. f*.com passt zu foo.com, aber nicht zu bar.com.

RFC 2459 sagt:

  • Ein "*" Platzhalterzeichen kann als der am weitesten links stehende Name verwendet werden   Komponente im Zertifikat. Zum Beispiel, *.example.com würde   stimmen Sie mit a.example.com, foo.example.com usw. überein, stimmen aber nicht überein   beispiel.com.

Wenn Sie ein Zertifikat für example.com, www.example.com und foo.example.com benötigen, benötigen Sie ein Zertifikat mit subjectAltNames, damit Sie "example.com" und "* .example.com" (oder Beispiel) haben .com und alle anderen Namen, die Sie möglicherweise übereinstimmen müssen).


64
2017-09-12 16:33





Sie haben Recht, die Stammdomäne muss ein alternativer Name sein, damit sie validiert werden kann.


11
2017-09-12 16:34





Jeder SSL-Provider, den ich jemals verwendet habe, fügt automatisch die Stammdomäne als alternativen Antragstellernamen zu einem Platzhalter-SSL-Zertifikat hinzu, sodass DOMAIN.COM automatisch für ein * .DOMAIN.COM-Platzhalter-Zertifikat funktioniert.


4
2018-04-22 22:34



Dies gilt nicht für AWS Certificate Manager ab dem 2017-09-20. - pho3nixf1re
Es gibt keine "Stammdomäne" für ein SAN-Zertifikat, die mehrere Stammdomänen sichern kann. - Jez


Wildcard-Zertifikate werden idealerweise für erstellt * .beispiel.com Um Ihre Subdomains und Domains mit diesem Zertifikat zu sichern, müssen Sie nur das gleiche Zertifikat auf Servern installieren, die auf diese Domains verweisen.

Für ex - haben Sie Wildcard-Zertifikat für * .example.com one.example.com - Server 1 Beispiel.com - Server 2

Sie müssen dieses Zertifikat auf Server 1 und Server 2 installieren.


-2
2018-04-14 08:17