Wildcard-SSL-Zertifikat für Subdomain der zweiten Ebene


93

Ich möchte wissen, ob Zertifikate einen doppelten Platzhalter wie unterstützen *.*.example.com. Ich habe gerade mit meinem derzeitigen SSL-Anbieter (register.com) telefoniert und das Mädchen dort sagte, dass sie so etwas nicht anbieten und dass sie es sowieso nicht für möglich hielt.

Kann mir jemand sagen, ob dies möglich ist und ob Browser dies unterstützen?


10
Für zukünftige Besucher gibt es keinen Browser, der ab 2015 ein doppeltes Wildcard-Zertifikat unterstützt *.*.example.com. Keine Ahnung warum.
Mahn,

@Mahn Dann haben Sie schreiben *.a.a.com, *.b.a.com, *.c.a.com, ... manuell?
William

1
@LiamWilliam Anscheinend habe ich bisher keine anderen Kombinationen gefunden, die Browsern gefallen. Es ist nervig.
Mahn

1
@William ja, aber auf der anderen Seite verwenden Sie die nicht, um zusammengehörige .Dinge in Ihrem Domain-Namen zu trennen - Domains sind Domain-Angelegenheiten. Warum sollten Sie phpmyadmin.serverX.domain.com, wenn phpmyadmin-serverX.domain.comsemantisch genauer und einfacher in Bezug auf DNS und TLS zu handhaben ist.
Daniel W.

Antworten:


52

RFC2818 besagt:

Wenn mehr als eine Identität eines bestimmten Typs im Zertifikat vorhanden ist (z. B. mehr als ein dNSName-Name), wird eine Übereinstimmung in einem der Sätze als akzeptabel angesehen. Namen können das Platzhalterzeichen * enthalten, das als übereinstimmend mit einem einzelnen angesehen wird Domänennamenskomponente oder Komponentenfragment. ZB * .a.com stimmt mit foo.a.com überein, nicht jedoch mit bar.foo.a.com. f * .com stimmt mit foo.com überein, jedoch nicht mit bar.com.

Internet Explorer verhält sich wie im RFC beschrieben, wobei jede Ebene ein eigenes Zertifikat mit Platzhalterzeichen benötigt. Firefox ist mit einem einzigen * .domain.com zufrieden, bei dem * alles vor domain.com übereinstimmt, einschließlich other.levels.domain.com, aber auch die Typen *. *. Domain.com.

Um Ihre Frage zu beantworten: Es ist möglich und wird von Browsern unterstützt.


5
Danke! Tests an diesem Morgen mit FF 3.5.7 haben gezeigt, dass es jetzt genauso RFC-konform ist wie IE. Mein .example.com-Zertifikat für foo.bar.example.com wurde abgelehnt. Um das zu klären, brauche ich nur ein weiteres Wildcard-Zertifikat mit *. .example.com als gebräuchlicher Name?

7
Ich habe gerade in FF 3.5 und IE 8 getestet und keiner würde ein Zertifikat für akzeptieren . .example.com. Ich denke, die einzige Lösung ist die Verwendung mehrerer Wildcard-Zertifikate.
Robert

9
Wer hat diesen Standard geschrieben? Das ist wertlos. Auch eine Verschwendung von Geld, wenn Sie mich fragen. Was schützt es?
Brent Pabst

6
Wenn doppelte Platzhalter Probleme verursachen, funktionieren bestimmte Unterdomänen um Platzhalter? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup

2
@tudor FWIW, ich habe gerade getestet, und Firefox zeigt mir eine Seite Ihre Verbindung ist nicht sicher, wenn Sie sub1.sub2.mydomain.commit einem *.mydomain.comZertifikat zugreifen , obwohl das Zertifikat gültig für sub2.mydomain.com. Also, so gut ich das beurteilen kann, ist diese Antwort tatsächlich falsch, zumindest heute. In Anbetracht der Tatsache, dass es auch einen Kommentar von jemandem gab, der sagte, dass er das Verhalten an dem Tag, an dem die Antwort veröffentlicht wurde , nicht reproduzieren könne , bin ich skeptisch, ob es jemals richtig war.
Mark Amery

20

Nur zur Bestätigung akzeptiert FF und IE 8 KEINE Zertifikate in der Form, *.*.example.comobwohl es technisch möglich ist, sie zu erstellen.


2
Dann müssen Sie schreiben *.a.a.com, *.b.a.com, *.c.a.commanuell?
William

2
@ William Ich denke schon. Das ist wirklich bedauerlich.
Franklin Yu

17

Wenn ein Wildcard-SSL-Zertifikat für * .domain.com ausgestellt wird, können Sie Ihre unbegrenzte Anzahl von Subdomains über die Hauptdomain sichern.

Zum Beispiel:

  • 1.domain.com
  • 2.domain.com
  • 3.domain.com
  • sub * .domain.com

Wenn das Wildcard-SSL-Zertifikat auf * .1.domain.com ausgestellt ist, können Sie in diesem Fall alle Subdomains der zweiten Ebene sichern, die unter der .1.domain.com aufgeführt sind

Zum Beispiel:

  • aaa1.domain.com
  • bbb1.domain.com
  • ccc1.domain.com
  • 1 .domain.com

Wenn Sie eine begrenzte Anzahl von Sub-Domains und Second-Level-Domains sichern möchten, können Sie Multi-Domain-SSL auswählen, mit dem bis zu 100 Domain-Namen mit einem einzigen Zertifikat gesichert werden können.

Zum Beispiel:

  • domain.com
  • 1.domain.com
  • aaa2.domain.com
  • domain2.net
  • domain3.org

Sie sollten Ihre tatsächlichen Anforderungen kennen, um ein SSL-Zertifikat zu wählen.


1
Dies ist ein gutes Verständnis, aber es beantwortet die Frage nicht. Sie haben erwähnt , alle Kombinationen aber nicht die, die OP fragte nach ( . .Domain.com).
Daniel W.

8

Dies könnte eine neue Testrunde mit aktuellen Browserversionen wert sein.

Mein persönlicher Schnelltest ergibt: Firefox 20.0.1 scheint dies immer noch nicht zu unterstützen. Es zeigt:

Dieses Zertifikat gilt nur für *. *. Mydomain.com

... beim Surfen zu https://svn.project.mydomain.com .

Internet Explorer 9.0:

Das Zertifikat dieser Website wurde für eine andere Adresse erstellt

Anmerkungen:

  • Beide Aussagen wurden von mir aus dem Deutschen ins Englische übersetzt. Wahrscheinlich habe ich nicht die gleichen Phrasen verwendet, die in den englischen Browserversionen angezeigt werden.
  • Ich habe ein selbstsigniertes Zertifikat verwendet. Was dazu führte, dass die Browser einen zusätzlichen Warnhinweis zeigten. Ich gehe davon aus, dass die obigen Anführungszeichen auch bei einem vertrauenswürdigen Zertifikatsaussteller angezeigt werden. Das zu überprüfen, war nicht im Rahmen meiner "Schnellüberprüfung".

7

Ich habe nur ein paar Nachforschungen angestellt, da ich die gleichen Anforderungen an die Sicherung von Sub-Sub-Domains habe, und bin auf eine Lösung von DigiCert gestoßen.

Diese Zertifikate sagen , es wird unterstützt yourdomain.com, *.yourdomain.com, *.*.yourdomain.comund so weiter.

Es ist derzeit recht teuer, aber die Hoffnung ist, dass andere Anbieter ähnliche Zertifikate anbieten und die Preise senken.


Das ist der richtige Ansatz. ein Wildcard-Zertifikat, das mehrere (Wildcard-) Namen unterstützt
drAlberT

Wir haben dieses Zertifikat von digicert. Es unterstützt es, aber nicht standardmäßig. Sie müssen ein doppeltes Zertifikat erstellen und alle Unterdomänen im Zertifikat angeben. Es ist nicht automatisch.
L_7337

7

Alle Antworten hier sind veraltet oder nicht vollständig korrekt, wenn man den RFC 6125 von 2011 nicht berücksichtigt.

Gemäß RFC 6125 ist im am weitesten links stehenden Fragment nur ein einziger Platzhalter zulässig.

Gültig:

*.sub.domain.tld
*.domain.tld

Ungültig:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Ein Fragment, oder auch "label" genannt, ist eine geschlossene Komponente, zB: *.com(2 labels) stimmt nicht überein label.label.com(3 labels) - dies wurde bereits in RFC 2818 definiert.

Vor 2011 in RFC 2818 war die Einstellung nicht vollständig klar:

Die Spezifikationen für vorhandene Anwendungstechnologien sind hinsichtlich der zulässigen Position des Platzhalterzeichens nicht klar oder einheitlich.

Dies hat sich mit RFC 6125 ab 2011 (6.4.3) geändert:

Der Client DARF NICHT versuchen, eine angegebene ID zu finden, bei der das Platzhalterzeichen eine andere Bezeichnung als die am weitesten links stehende enthält (z. B. nicht mit dem Balken. *. Example.net übereinstimmen).


2

Obwohl ich mich nicht mit Ihrer Frage befasse, habe ich gerade vor Minuten etwas darüber gelesen:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

Dies erklärt, dass Sie keinen doppelten Stern verwenden können


Bearbeiten

Fügen Sie einen Teil des Zitats hinzu, falls die Website ausfällt oder zu lange zum Lesen ist

Was nicht möglich ist, ist zu versuchen, beide Subdomains von mail.xyz.com und photos.xyz.com mit einem einzigen Platzhalter abzudecken. Die Zertifizierungsstelle oder Zertifizierungsstelle kann ein SSL-Zertifikat nur mit einem einzigen (*) bereitstellen. Sie konnten keine Zertifikatsignierungsanforderung generieren, die so aussah . .xyz.com, um zu versuchen, mehr als eine Subdomänengruppe der zweiten Ebene abzudecken.

Der Grund warum

Der Grund, warum es nicht möglich ist, ein SSL-Zertifikat mit "doppeltem Platzhalter" zu haben, besteht darin, dass der Platzhalter, der Stern, nur für ein Feld im Namen stehen kann, der an die Zertifizierungsstelle gesendet wurde. Schließlich muss die Zertifizierungsstelle alle Informationen überprüfen, und zu viele Variablen im Zertifikat würden die Sicherheit und das Vertrauen verringern, das das Zertifikat bietet.

Darüber hinaus, und dies ist auch für IT-Manager und Website-Eigentümer wichtig, kann die interne Sicherheit nicht so leicht gefährdet werden. Bedenken Sie, dass jede Art von Sicherheitsproblem, sobald ein SSL-Zertifikat vorhanden ist, sehr viel wahrscheinlicher durch eine interne Sicherheitsverletzung verursacht wird, bei der jemand mit Zugriff auf den privaten Schlüssel und das Zertifikat eine Subdomain-Website einrichten kann, die tatsächlich von abgedeckt wird die SSL.


1
Ich muss beachten, dass Sie nach Beantwortungsrichtlinien wesentliche Teile eines Artikels in Ihrem Antworttext angeben müssen. Da sich dieser Link im Laufe der Zeit ändern kann oder der Artikel gelöscht wird. Andernfalls wird es möglicherweise nicht als Antwort angesehen.
14.

0

Was Sie tun können, ist etwas wie * .domain.com und dann * .www.domain.com oder * .mail.domain.com. Ich habe *. *. Domain.com noch nie auf einer Produktionssite gesehen.

Sie können einen Platzhalter (* .domain.com) erhalten, benötigen jedoch auch * .www.domain.com als alternativen Eintrag für den Antragstellernamen, damit dies funktioniert. Die einzigen mir bekannten Unternehmen, die dies anbieten, sind ssl.com und digicert. Es mag andere geben, aber ich bin mir nicht sicher.


Mit letsencrypt können Sie auch Wildcards ausstellen. Und sie ermöglichen mehrere SANs. Sie können also eine Reihe von SANs definieren. Eg -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.