Pourquoi mon certificat SSL générique provoque-t-il une erreur de non-correspondance de domaine sur un sous-domaine de deuxième niveau?

22

J'ai un serveur https://www.groups.example.com- dans FireFox je reçois le " This Connection is Untrusted" message et les "détails techniques" disent

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

Quelles autres informations dois-je fournir pour résoudre ce problème? Je viens de recevoir la confirmation de la configuration mais je suis sûr à 99% que c'est Linux et que vous utilisez VHOSTS. Met à jour la question dès que cela est confirmé.

Est-ce le fait que www.groups.example.com est considéré comme ayant 2 niveaux de sous-domaines?

L'émetteur est DigiCert

ssl https ssl-certificate pee2pee
la source
2
Je suis sûr que ce sont les deux niveaux de sous-domaine qui sont le problème, et je suis assez sûr que c'est une question en double - mais je ne peux pas mettre la main sur la question d'origine pour le moment.
MadHatter prend en charge Monica
Vous ne pouvez pas utiliser un sous-domaine de la partie générique et avoir une correspondance. Vous auriez besoin d'utiliser des SAN. En outre, ce mydomain.comn'est pas la même chose que example.org.
gparent
2
@gparent C'est généralement une bonne idée de consulter l'historique des modifications d'une question lorsque vous voyez un décalage comme celui-ci. Dans ce cas, c'est moi qui avais manqué un cas mydomain.comoù je réparais le poste. (Lors de la fusion de noms de domaine, il faut toujours utiliser example.[com|org|net]plutôt que de créer quelque chose comme mydomain.comqui existe réellement mais n'appartient pas à l'affiche.)
Jenny D dit Reinstate Monica
1
@JennyD: +1 de ma part! Un autre, si je pouvais, pour le point sur les noms de domaine de munging (mais mieux encore n'est pas de les expurger du tout).
MadHatter prend en charge Monica
1
@gparent Je suis tout à fait d'accord pour dire que les gens ne devraient pas en premier lieu fusionner leur nom de domaine. Mais s'ils le font, ils devraient au moins le faire correctement.
Jenny D dit Réintégrer Monica

Réponses:

47

La RFC 2818 dans "3.1. Identité du serveur" indique que

Les noms peuvent contenir le caractère générique *qui est considéré comme correspondant à tout composant de nom de domaine ou fragment de composant unique. Par exemple, *.a.comcorrespond foo.a.commais pas bar.foo.a.com.

Alors oui, c'est le fait que ce soit deux niveaux de sous-domaines qui pose problème.

Jenny D dit de réintégrer Monica
la source
18
Quelqu'un d'autre trouve-t-il amusant que la RFC2818 ignore la RFC2606 lors du choix d'un exemple de nom de domaine?
MadHatter prend en charge Monica
Il est également intéressant de noter que bien que la RFC2818 soit informative , la norme proposée RFC7230 y fait référence en tant que définition.
Esa Jokinen