Vraag Wildcard SSL-certificaat voor subdomein op het tweede niveau


Ik zou graag willen weten of certificaten een dubbel jokerteken ondersteunen *.*.example.com? Ik ben net aan de telefoon geweest met mijn huidige SSL-provider (register.com) en het meisje daar zei dat ze niets dergelijks aanbieden en dat ze het toch niet mogelijk achtte.

Kan iemand mij vertellen of dit mogelijk is en of browsers dit ondersteunen?


75
2018-01-19 14:34


oorsprong


Ter informatie, voor toekomstige bezoekers, geen enkele browser ondersteunt een dubbel wildcard certificaat ala *.*.example.com vanaf 2015. Geen idee waarom. - Mahn
@Mahn Dan moet je schrijven *.a.a.com,*.b.a.com,*.c.a.com, ... handmatig? - William
@LiamWilliam blijkbaar heb ik geen andere combinaties gevonden die browsers tot nu toe leuk vinden. Het is lastig. - Mahn


antwoorden:


RFC2818 luidt als volgt:

Als meer dan één identiteit van een gegeven   type is aanwezig in het certificaat   (bijv. meer dan één dNSName-naam, a   match in een van de set is   aanvaardbaar geacht.) Namen mogen   bevatten het jokerteken * dat   wordt geacht overeen te komen met een enkele   domeinnaam component of component   fragment. Bijvoorbeeld. * .A.com wedstrijden   foo.a.com maar niet bar.foo.a.com.   f * .com komt overeen met foo.com maar niet   bar.com.

Internet Explorer gedraagt ​​zich zoals aangegeven door de RFC, waarbij elk niveau een eigen wildcard-certificaat nodig heeft. Firefox is blij met een single * .domain.com waarbij * overeenkomt met alles voor domein.com, inclusief other.levels.domain.com, maar ook de typen *. *. Domain.com verwerkt.

Dus, om uw vraag te beantwoorden: het is mogelijk en ondersteund door browsers.


46
2018-01-19 15:36



Dank je! Testen op FF 3.5.7 vanmorgen toonde aan dat het nu RFC-compatibel is op dezelfde manier als IE. Het verwierp mijn .example.com cert voor foo.bar.example.com. Dus alleen om te verduidelijken wat ik nodig heb is nog een wildcard cert die * heeft..example.com als de gemeenschappelijke naam?
correct, op basis daarvan heeft u een *. *. example.com nodig - Alex
Ik heb net getest in FF 3.5 en IE 8 en geen van beide zou een certificaat accepteren voor ..example.com. Ik denk dat de enige oplossing is om meerdere wildcard-certificaten te gebruiken. - Robert
Wie heeft deze standaard geschreven? Dit is waardeloos. Ook een verspilling van geld als je het mij vraagt. Wat beschermt het? - Brent Pabst
Als dubbele jokertekens problemen veroorzaken, werken specifieke subdomeinen rond jokertekens dan? ala SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com - rcoup


Gewoon om FF te bevestigen en IE 8 accepteert GEEN certificaten in het formulier *.*.example.com hoewel het technisch mogelijk is om ze te maken.


18
2018-01-27 16:36



Dan moet je schrijven *.a.a.com,*.b.a.com,*.c.a.com handmatig? - William
@William, ik denk het wel. Dit is echt ongelukkig. - Franklin Yu


Wanneer een Wildcard SSL-certificaat wordt uitgegeven voor * .domain.com, kunt u uw onbeperkte aantal subdomeinen beveiligen via het hoofddomein.

Bijvoorbeeld:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

Als het Wildcard SSL-certificaat op * .sub1.domain.com wordt uitgegeven, kunt u in dat geval alle subdomeinen van het tweede niveau beveiligen die worden vermeld onder sub1.domain.com

Bijvoorbeeld:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. Sub1.domain.com

Als u een beperkt aantal subdomeinen en domeinen op het tweede niveau wilt beveiligen, kunt u SSL met meerdere domeinen kiezen die tot 100 domeinnamen met één certificaat kan beveiligen.

Bijvoorbeeld:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

U moet uw werkelijke vereisten kennen om een ​​SSL-certificaat te kiezen.


16
2018-01-08 12:19



Dit is een goed begrip maar geeft geen antwoord op de vraag. U noemde alle combinaties, maar niet degene waar het OP om vroeg (..domein.com). - DanFromGermany


Dit kan een nieuwe testronde waard zijn met de huidige browserversies.

Mijn persoonlijke snelle controle resulteert in: Firefox 20.0.1 lijkt dit nog steeds niet te ondersteunen. Het laat zien:

Dit certificaat is alleen geldig voor *. *. Mijndomein.com

... tijdens het surfen naar https://svn.project.mydomain.com.

Internet Explorer 9.0:

Het certificaat van deze website is gemaakt voor een ander adres

Opmerkingen:

  • Beide verklaringen vertaald door mij van Duits naar Engels. Waarschijnlijk heb ik niet dezelfde zinnen gebruikt als de Engelse browserversies zouden laten zien.
  • Ik heb een zelfondertekend certificaat gebruikt. Wat ervoor zorgde dat de browsers een extra waarschuwingszin toonden. Ik neem aan dat de bovenstaande aanhalingstekens ook worden weergegeven bij een vertrouwde certificaatuitgever. Verifiëren dit was buiten het bereik van mijn "snelle controle".

8
2017-09-17 16:19





Ik was gewoon wat onderzoek aan het doen omdat ik dezelfde vereisten had om ook sub-subdomeinen te beveiligen en tegenkwam oplossing van DigiCert.

Dit certificaat zegt dat het zal ondersteunen yourdomain.com, *.yourdomain.com, *.*.yourdomain.com enzovoorts.

Het is momenteel vrij prijzig, maar de hoop is dat andere aanbieders gelijkaardige certificaten zouden gaan aanbieden en prijzen zouden verlagen.


7
2018-01-06 23:54



dit is de juiste aanpak. een wildcard cert met meerdere (jokertekens) namen ondersteund - drAlberT
We hebben dit certificaat van digicert. Het ondersteunt het, maar niet standaard. U moet een duplicaat cert aanmaken en alle subdomeinen in de cert opgeven. Het is niet automatisch. - L_7337


hoewel ik je vraag niet bekijk, heb ik er minuten geleden toevallig iets over gelezen:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

dit verklaart dat je geen dubbele asterisk kunt gebruiken


1
2018-05-14 06:52





Wat je kunt doen is zoiets als * .domain.com en dan * .www.domain.com of * .mail.domain.com. Ik heb *. *. Domain.com nog nooit op een productiesite gezien.

U kunt een jokerteken (* .domain.com) krijgen, maar u hebt ook * .www.domain.com nodig als een alternatieve invoer van een onderwerp om dit te laten werken. De enige bedrijven die ik ken, bieden dit ssl.com en digicert. Er kunnen anderen zijn, maar ik weet het niet zeker.


0
2018-02-12 17:25