Certificat SSL générique pour le sous-domaine de second niveau

93

J'aimerais savoir si des certificats prennent en charge un double caractère générique, comme *.*.example.com? Je viens de parler au téléphone avec mon fournisseur actuel de SSL (register.com) et la fille là-bas a dit qu'elle n'offrait rien de tel et qu'elle ne pensait pas que c'était possible de toute façon.

Quelqu'un peut-il me dire si cela est possible et si les navigateurs le prennent en charge?

ssl subdomain certificate wildcard Aleksander Blomskøld
la source
10
FYI pour les futurs visiteurs, aucun navigateur ne supporte un double certificat générique ala à *.*.example.compartir de 2015. Aucune idée pourquoi.
Mahn
Ensuite , faites @Mahn vous devez écrire *.a.a.com, *.b.a.com, *.c.a.com, ... manuellement?
William
1
@LiamWilliam apparemment, je n'ai pas trouvé d'autres combinaisons que les navigateurs aiment jusqu'à présent. C'est pénible.
Mahn
1
@ William oui, mais n'utilisez pas le .pour séparer les éléments de votre nom de domaine qui sont liés, les domaines sont des préoccupations de domaine. Pourquoi auriez-vous besoin phpmyadmin.serverX.domain.com, quand phpmyadmin-serverX.domain.comest sémantiquement plus précis et plus facile à gérer en termes de DNS et de TLS.
Daniel W.

Réponses:

52

Le RFC2818 déclare:

Si plusieurs certificats d’un type donné sont présents dans le certificat (par exemple, plusieurs noms dNSName, une correspondance dans l’un des ensembles est considérée comme acceptable.) Les noms peuvent contenir le caractère générique * considéré comme correspondant à n’importe quel nom. composant de nom de domaine ou fragment de composant. Par exemple, * .a.com correspond à foo.a.com mais pas à bar.foo.a.com. f * .com correspond à foo.com mais pas à bar.com.

Internet Explorer se comporte de la manière décrite par le RFC, où chaque niveau a besoin de son propre certificat générique. Firefox est satisfait d’un seul * .domain.com où * correspond à tout ce qui se trouve devant domain.com, y compris other.levels.domain.com, mais gère également les types *. *. Domain.com.

Donc, pour répondre à votre question: c'est possible, et supporté par les navigateurs.

Alex
la source
5
Je vous remercie! Les tests effectués sur FF 3.5.7 ce matin ont montré que celui-ci est désormais conforme aux RFC au même titre que IE. Il a rejeté mon certificat .example.com pour foo.bar.example.com. Donc, pour clarifier, tout ce dont j'ai besoin est un autre certificat générique qui a *. .example.com comme nom commun?
7
Je viens de tester dans FF 3.5 et IE 8 et aucun d’eux n’accepterait un certificat . .exemple.com. Je pense que la seule solution consiste à utiliser plusieurs certificats génériques.
Robert
9
Qui a écrit cette norme? Ceci ne vaut rien. Aussi une perte d'argent si vous me demandez. Que protège-t-il?
Brent Pabst le
6
Si les doubles caractères génériques posent problème, des sous-domaines spécifiques autour des caractères génériques fonctionnent-ils? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, je viens de tester, et Firefox me montre une page Votre connexion n'est pas sécurisée lors de l'accès sub1.sub2.mydomain.comavec un *.mydomain.comcertificat, bien que le certificat soit valide pour sub2.mydomain.com. Donc, autant que je sache, cette réponse est en effet fausse, du moins aujourd'hui. Considérant qu’il y avait aussi un commentaire posté de quelqu'un disant qu’ils ne pouvaient pas reproduire le comportement le jour où la réponse a été postée , je suis sceptique quant à sa véracité.
Mark Amery
20

Juste pour confirmer, FF et IE 8 n’accepteront PAS les certificats sous la forme *.*.example.combien qu’il soit techniquement possible de les créer.


la source
2
Ensuite , vous devez écrire *.a.a.com, *.b.a.com, *.c.a.commanuellement?
William
2
@ William je pense que oui. C'est vraiment regrettable.
Franklin Yu
17

Lorsque le certificat SSL Wildcard est émis pour * .domain.com, vous pouvez sécuriser votre nombre illimité de sous-domaines sur le domaine principal.

Par exemple:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sous * .domaine.com

Si le certificat SSL Wildcard est émis sur * .sub1.domain.com, dans ce cas, vous pouvez sécuriser tous les sous-domaines de second niveau répertoriés sous le domaine sub1.domain.com.

Par exemple:

  • aaa.sub1.domaine.com
  • bbb.sub1.domaine.com
  • ccc.sub1.domaine.com
  • ***. sub1.domain.com

Si vous souhaitez sécuriser un nombre limité de sous-domaines et de domaines de second niveau, vous pouvez choisir un SSL multi-domaines pouvant sécuriser jusqu'à 100 noms de domaine avec un seul certificat.

Par exemple:

  • domain.com
  • sub1.domain.com
  • aaa.s22.domaine.com
  • domain2.net
  • domain3.org

Vous devez connaître vos exigences actuelles pour choisir un certificat SSL.

Jason Parms
la source
1
C'est une bonne compréhension mais ne répond pas à la question. Vous avez parlé de toutes les combinaisons mais pas celui de l'OP a demandé ( . .Domaine.com).
Daniel W.
8

Cela pourrait valoir une nouvelle série de tests avec les versions actuelles du navigateur.

Ma vérification rapide personnelle aboutit à: Firefox 20.0.1 ne semble toujours pas supporter cela. Ça montre:

Ce certificat n'est valable que pour *. *. Mydomain.com

... lorsque vous naviguez sur https://svn.project.mydomain.com .

Internet Explorer 9.0:

Le certificat de ce site a été fait pour une autre adresse

Remarques:

  • Les deux déclarations ont été traduites d’allemand en anglais, par moi. Je n'ai probablement pas utilisé les mêmes phrases que les versions anglaises du navigateur.
  • J'ai utilisé un certificat auto-signé. Ce qui a amené les navigateurs à afficher une phrase supplémentaire d'avertissement. Je suppose que les citations ci-dessus seraient également affichées avec un émetteur de certificats de confiance. Vérifier que cela sortait du cadre de ma "vérification rapide".
Klaus Thorn
la source
7

Je faisais juste quelques recherches à ce sujet car j'ai les mêmes exigences pour sécuriser les sous-domaines et j'ai trouvé une solution de DigiCert.

Ce certificat dit qu'il soutiendra yourdomain.com, *.yourdomain.com, *.*.yourdomain.comet ainsi de suite.

Il est actuellement plutôt coûteux, mais l’espoir est que d’autres fournisseurs commencent à offrir des certificats similaires et réduisent leurs prix.

F21
la source
c'est la bonne approche. un certificat générique ayant plusieurs noms (génériques) pris en charge
drAlberT
Nous avons ce certificat de digicert. Il le supporte, mais pas par défaut. Vous devez créer un certificat en double et spécifier tous les sous-domaines du certificat. Ce n'est pas automatique.
L_7337
7

Toutes les réponses ici sont obsolètes ou pas tout à fait correct, sans tenir compte de la RFC 6125 de 2011.

Selon la RFC 6125 , un seul caractère générique est autorisé dans le fragment le plus à gauche.

Valide:

*.sub.domain.tld
*.domain.tld

Invalide:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Un fragment, également appelé "étiquette", est un composant fermé. Par exemple: *.com(2 étiquettes) ne correspond pas label.label.com(3 étiquettes) - cela a déjà été défini dans la RFC 2818.

Avant 2011 dans RFC 2818, le paramètre n’était pas parfaitement clair:

Les spécifications des technologies d'application existantes ne sont ni claires ni cohérentes sur l'emplacement autorisé du caractère générique.

Cela a changé avec la RFC 6125 à partir de 2011 (6.4.3):

Le client NE DEVRAIT PAS essayer de faire correspondre un identifiant présenté dans lequel le caractère générique comprend une étiquette autre que l'étiquette la plus à gauche (par exemple, ne correspond pas à la barre. *. Example.net).

Daniel W.
la source
2

Bien que je n’examine pas votre question, j’ai lu quelque chose à ce sujet il ya quelques minutes:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

cela explique que vous ne pouvez pas utiliser le double astérisque

Modifier

Ajoutez une partie de la citation au cas où le site Web serait en panne ou qu'il serait trop long à lire.

Ce qui n’est pas possible, c’est d’essayer de couvrir à la fois les sous-domaines de mail.xyz.com et photos.xyz.com avec un seul Wildcard. L'autorité de certification ou l'autorité de certification ne peut fournir un certificat SSL qu'avec un seul (*). Vous ne pouviez pas générer une demande de signature de certificat similaire . .xyz.com pour essayer de couvrir plus d’un groupe de sous-domaines de second niveau.

La raison pour laquelle

Un certificat SSL "avec double caractère générique" ne peut pas s'expliquer par le fait que l'espace réservé, l'astérisque, ne peut remplacer qu'un seul champ du nom soumis à l'autorité de certification. Après tout, l'autorité de certification doit vérifier toutes les informations, et trop de variables dans le certificat diminueraient la sécurité et la confiance fournies par le certificat.

De plus, et cela est important pour les responsables informatiques et les propriétaires de sites Web, la sécurité interne ne peut pas être compromise aussi facilement. Gardez à l'esprit que tout type de problème de sécurité une fois qu'un certificat SSL est en place est beaucoup plus susceptible de se produire suite à une faille de sécurité interne dans laquelle une personne ayant accès à la clé privée et au certificat est en mesure de configurer un site Web de sous-domaine qui est réellement couvert par le SSL.

DeadManN
la source
1
Je dois noter que les directives de réponse vous obligent à citer les parties essentielles d'un article dans le corps de votre réponse. Parce que ce lien peut changer au fil du temps ou que l'article peut être supprimé. Sinon, cela pourrait ne pas être considéré comme une réponse.
sr9yar
0

Ce que vous pouvez faire est quelque chose comme * .domain.com, puis * .www.domain.com ou * .mail.domain.com. Je n'ai jamais vu *. *. Domain.com sur un site de production.

Vous pouvez obtenir un caractère générique (* .domain.com), mais vous aurez également besoin de * .www.domain.com comme autre entrée de nom de sujet pour que cela fonctionne. Les seules entreprises que je connaisse offrent ceci, ssl.com et digicert. Il y en a peut-être d'autres mais je ne suis pas sûr.

Colt Blake
la source
avec letsencrypt, vous pouvez également émettre des certificats génériques. Et ils permettent plusieurs SAN. Vous pouvez donc définir un ensemble de SAN. Par exemple -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality