Wildcard-SSL-Common Name - kann er irgendetwas heißen?

Ich habe mich nur gefragt, ob für ein Wildcard-SSL-Zertifikat unbedingt ein gemeinsamer Name erforderlich ist, der den Domänennamen der Sites enthält, auf die das SSL-Zertifikat angewendet werden muss.

Zum Beispiel für Folgendes:

Domainname: testdomain.com

Unterwebsites:

• www.testdomain.com
• mobile.testdomain.com
• mytestenvironment.testdomain.com

Muss ich mein Wildcard-Zertifikat unbedingt mit einem gemeinsamen Namen versehen *.testdomain.com?

Ja, Ihr gebräuchlicher Name sollte für ein Wildcard-Zertifikat * .yourdomain.com sein.

Grundsätzlich gibt der allgemeine Name an, für welche Domäne Ihr Zertifikat geeignet ist, sodass die tatsächliche Domäne angegeben werden muss.

Zur Verdeutlichung: Es sollte nicht „enthalten“ der Domain - Name der Seiten, sollte es sein , die Domäne der Seiten. Ich vermute, es gibt keinen Unterschied in Ihrer Frage. Ich wollte nur klären, ob es ein Missverständnis darüber gibt, was die Domain sein sollte oder wofür das Zertifikat verwendet wird.

Tatsächlich sollten Sie dnsNameEinträge im subjectAltNameAbschnitt des Zertifikats verwenden, um die vollqualifizierten Domänennamen und nicht den CN-Teil des Zertifikats anzugeben subject. Die Verwendung von subjectfür diesen Zweck ist veraltet, seit RFC 2818 im Jahr 2000 veröffentlicht wurde. Zitat Abschnitt 3.1 :

Wenn eine subjectAltName-Erweiterung vom Typ dNSName vorhanden ist, MUSS diese als Identität verwendet werden. Andernfalls MUSS das (spezifischste) Feld Common Name im Feld Subject des Zertifikats verwendet werden. Die Verwendung des allgemeinen Namens ist zwar gängige Praxis, jedoch veraltet, und Zertifizierungsstellen werden aufgefordert, stattdessen den dNS-Namen zu verwenden.

Der einzige Fall, in dem der Inhalt von für die subjectGültigkeitsprüfung von Serverzertifikaten relevant ist, besteht dnsNamedarin, dass der in subjectAltNameden letzten 17 Jahren zum Zeitpunkt des Schreibens veraltete Fall nicht enthalten ist.

Die Verwendung von Platzhalterzertifikaten ist veraltet, wie in Abschnitt 7.2 von RFC 6125 gezeigt :

In diesem Dokument wird angegeben, dass das Platzhalterzeichen '*' NICHT in den angegebenen Bezeichnern enthalten sein darf, sondern von Anwendungsclients überprüft werden darf (hauptsächlich aus Gründen der Abwärtskompatibilität mit der bereitgestellten Infrastruktur).

Die Verwendung desselben privaten Schlüssels für mehrere Dienste wird normalerweise als fehlerhaft angesehen. Sollte einer der Dienste beeinträchtigt werden, ist die Kommunikation von anderen Diensten gefährdet und Sie müssen den Schlüssel (und das Zertifikat) für alle Dienste ersetzen.

Ich empfehle RFC 6125 als gute Informationsquelle in dieser Angelegenheit.

Ja, das Wildcard SSL-Zertifikat ist die beste Lösung gemäß Ihren Anforderungen. Mit dem Wildcard-Zertifikat können Sie die Informationen Ihrer Besucher schützen. Es ist egal, welche Seite Ihrer Website übermittelt wird. Das Platzhalterzertifikat sichert eine unbegrenzte Anzahl von Subdomains, die denselben Domainnamen verwenden.

Die Installation desselben Platzhalterzertifikats auf allen Subdomänen und Servern birgt ein erhöhtes Risiko: Wenn ein Server oder eine Subdomäne kompromittiert wird, können alle Subdomänen gleichermaßen kompromittiert werden. Stellen Sie sicher, dass Ihre Website durch mehrere Schutzstufen vor jeglichem externen und internen Druck geschützt ist.