ssl générique sur le sous-sous-domaine [fermé]

nous avons un certificat ssl générique pour * .domain.com et un site Web avec sub1.sub2.domain.com

safari 4.0.4 sur MacOsx affiche une erreur de certificat (probablement à cause de l'interprétation des caractères génériques), contrairement à safari 4 sous Windows.

le comportement de ie8 est également au mieux mélangé, certains ie8 n'affichent pas l'erreur de certificat et d'autres non.

Qu'est-ce qui cause ce comportement étrange sur Safari et IE?

Un certificat SSL générique pour * .example.net correspondra à sub.example.net mais pas à sub.sub.example.net .

De RFC 2818 :

La correspondance est effectuée à l'aide des règles de correspondance spécifiées par RFC2459 . Si plus d'une identité d'un type donné est présente dans le certificat (par exemple, plus d'un nom dNSName, une correspondance dans l'un quelconque de l'ensemble est considérée comme acceptable.) Les noms peuvent contenir le caractère générique *qui est considéré comme correspondant à n'importe quel domaine unique nom du composant ou fragment de composant. Par exemple, *.a.comcorrespond foo.a.commais pas bar.foo.a.com. f*.comcorrespond foo.commais pas bar.com.

Si vous avez besoin d'un certificat générique contenant des sites * .domain.com et que vous travaillez également avec sub1.sub2.domain.com ou un autre domaine tel que * .domain2.com, vous pouvez résoudre ce problème avec un seul certificat générique avec ce que l'on appelle un sujet extension de nom alternatif (SAN) pour chacun des autres sous-sous-domaines. Un certificat SAN n'est pas seulement destiné à plusieurs noms d'hôtes spécifiques, il peut également être créé pour les entrées de caractères génériques.

Par exemple, * .domain.com, sub1.sub2.domain.com et * .domain2.com auraient un nom commun de * .domain.com, puis vous attacheriez un autre nom de sujet à la fois * .domain2.com et * .sub2.domain.com. Cela peut dépendre de l'autorité de certification quant à la façon dont elle vous facturerait (ou non) le certificat, mais il y en a là où cette offre est disponible. En outre, le support SAN est assez répandu dans l'espace du navigateur Web. Le meilleur exemple réel de cette utilisation, c'est le certificat SSL de Google. Allez ouvrir google et afficher son certificat SSL, vous verrez qu'il fonctionne pour * .google.com, * .youtube.com, * .gmail.com, et un tas d'autres où ils sont répertoriés comme noms alternatifs de sujet.

Le caractère générique n'est appliqué qu'à la première partie (à partir de la gauche) de votre domaine. Vous aurez donc besoin d'un certificat pour * .sub2.domain.com

Si vous vouliez dire que vous avez sub1.domain.com et sub2.domain.com, cela devrait fonctionner.