Certificado SSL curinga para subdomínio de segundo nível

93

Gostaria de saber se algum certificado suporta um curinga duplo como *.*.example.com? Acabei de falar ao telefone com meu provedor SSL atual (register.com) e a garota de lá disse que não oferece nada parecido e que ela achava que não era possível.

Alguém pode me dizer se isso é possível e se os navegadores suportam isso?

Aleksander Blomskøld
fonte
10
Para os futuros visitantes, nenhum navegador suporta um certificado curinga duplo ala a *.*.example.compartir de 2015. Não faço ideia do porquê.
Mahn
@Mahn Então você tem que escrever *.a.a.com, *.b.a.com, *.c.a.com, ... manualmente?
William
11
@LiamWilliam, aparentemente, não encontrei outras combinações que os navegadores gostem até agora. É uma dor.
Mahn
11
@ William sim, mas por outro lado, não use o .para separar coisas em seu nome de domínio que pertençam juntas - domínios são preocupações de domínio. Por que você precisaria phpmyadmin.serverX.domain.com, quando phpmyadmin-serverX.domain.comé semanticamente mais preciso e mais fácil de lidar em termos de DNS e TLS.
Daniel W.

Respostas:

52

A RFC2818 afirma:

Se mais de uma identidade de um determinado tipo estiver presente no certificado (por exemplo, mais de um nome dNSName, uma correspondência em qualquer um dos conjuntos é considerada aceitável.) Os nomes podem conter o caractere curinga * que é considerado como qualquer componente de nome de domínio ou fragmento de componente. Por exemplo, * .a.com corresponde a foo.a.com, mas não a bar.foo.a.com. f * .com corresponde a foo.com, mas não bar.com.

O Internet Explorer se comporta da maneira descrita pela RFC, onde cada nível precisa de seu próprio certificado curinga. O Firefox está satisfeito com um único * .domínio.com em que * corresponde a qualquer coisa na frente do domínio.com, incluindo outros.níveis.domínio.com, mas também manipula os tipos *. * .Domínio.com também.

Portanto, para responder à sua pergunta: é possível e suportado pelos navegadores.

Alex
fonte
5
Obrigado! Testar o FF 3.5.7 nesta manhã mostrou que agora é compatível com RFC da mesma maneira que o IE. Rejeitou meu certificado .example.com para foo.bar.example.com. Então, só para esclarecer tudo o que preciso é outro certificado curinga que tenha *. .example.com como o nome comum?
7
Acabei de testar no FF 3.5 e IE 8 e nenhum deles aceitaria um certificado . .exemplo.com. Eu acho que a única solução é usar vários certificados curinga.
Robert
9
Quem escreveu esse padrão? Isso não vale nada. Também um desperdício de dinheiro, se você me perguntar. O que ele protege?
Brent Pabst
6
Se os curingas duplos causarem problemas, os subdomínios específicos em torno dos curingas funcionam? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, acabei de testar e o Firefox mostra uma página Sua conexão não é segura ao acessar sub1.sub2.mydomain.comcom um *.mydomain.comcertificado, apesar de considerar o certificado válido para sub2.mydomain.com. Então, como posso dizer, esta resposta está realmente errada, pelo menos hoje. Considerando que também houve um comentário postado por alguém dizendo que eles não podiam reproduzir o comportamento no dia em que a resposta foi postada , estou cético quanto à possibilidade de alguma vez estar correta.
Mark # Amery #
20

Apenas para confirmar que o FF e o IE 8 NÃO aceitarão certificados no formulário, *.*.example.comembora seja tecnicamente possível criá-los.


fonte
2
Então você tem que escrever *.a.a.com, *.b.a.com, *.c.a.commanualmente?
William
2
@ William eu acho que sim. Isso é realmente lamentável.
Franklin Yu
17

Quando o certificado SSL curinga é emitido para * .domain.com, você pode proteger seu número ilimitado de subdomínios no domínio principal.

Por exemplo:

  • sub1.domínio.com
  • sub2.domínio.com
  • sub3.domínio.com
  • sub * .domínio.com

Se o certificado SSL curinga for emitido em * .sub1.domain.com, nesse caso, você poderá proteger todos os subdomínios de segundo nível listados em sub1.domain.com

Por exemplo:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domínio.com

Se você deseja proteger um número limitado de subdomínios e domínios de segundo nível, pode escolher SSL de vários domínios que pode proteger até 100 nomes de domínio com um único certificado.

Por exemplo:

  • domain.com
  • sub1.domínio.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Você deve conhecer seus requisitos reais para escolher um certificado SSL.

Jason Parms
fonte
11
Esta é uma boa compreensão, mas não responde à pergunta. Você mencionou todas as combinações mas não a que o OP pediu ( . .Domain.com).
Daniel W.
8

Isso pode valer a pena uma nova rodada de testes com as versões atuais do navegador.

Minha verificação rápida pessoal resulta em: O Firefox 20.0.1 parece ainda não suportar isso. Isto mostra:

Este certificado é válido apenas para *. *. Mydomain.com

... ao navegar para https://svn.project.mydomain.com .

Internet Explorer 9.0:

O certificado deste site foi feito para outro endereço

Notas:

  • Ambas as declarações foram traduzidas do alemão para o inglês por mim. Provavelmente não usei as mesmas frases que as versões em inglês do navegador mostrariam.
  • Eu usei um certificado autoassinado. O que fez com que os navegadores mostrassem uma frase adicional de aviso. Suponho que as citações acima também sejam mostradas com um emissor de certificado confiável. Verificar isso estava fora do escopo da minha "verificação rápida".
klaus thorn
fonte
7

Eu estava apenas pesquisando isso, pois também tenho os mesmos requisitos para proteger subdomínios e me deparei com uma solução do DigiCert.

Este certificado diz que vai apoiar yourdomain.com, *.yourdomain.com, *.*.yourdomain.come assim por diante.

Atualmente, é bastante caro, mas a esperança é que outros provedores comecem a oferecer certificados semelhantes e reduzirão os preços.

F21
fonte
esta é a abordagem correta. um curinga cert ter múltiplos (wildcard) nomes suportado
drAlberT
Temos este certificado da digicert. Ele suporta, mas não por padrão. Você deve criar um certificado duplicado e especificar todos os subdomínios no certificado. Não é automático.
L_7337 03/06
7

Todas as respostas aqui estão desatualizadas ou incorretas, não considerando a RFC 6125 de 2011.

De acordo com o RFC 6125 , apenas um curinga é permitido no fragmento mais à esquerda.

Válido:

*.sub.domain.tld
*.domain.tld

Inválido:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Um fragmento, ou também chamado de "etiqueta", é um componente fechado, por exemplo: *.com(2 etiquetas) não corresponde label.label.com(3 etiquetas) - isso já foi definido na RFC 2818.

Antes de 2011 na RFC 2818, a configuração não era totalmente clara:

As especificações para as tecnologias de aplicativos existentes não são claras ou consistentes sobre o local permitido do caractere curinga.

Isso mudou com o RFC 6125 a partir de 2011 (6.4.3):

O cliente NÃO DEVE tentar corresponder a um identificador apresentado no qual o caractere curinga compreende um rótulo diferente do rótulo mais à esquerda (por exemplo, não corresponde à barra. *. Exemplo.net).

Daniel W.
fonte
2

embora eu não esteja analisando sua pergunta, acabei de ler algo sobre isso minutos atrás:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

isso explica que você não pode usar asterisco duplo


Editar

Adicione parte da cotação para o caso de o site cair ou demorar muito para ler

O que não é possível é tentar cobrir os subdomínios mail.xyz.com e photos.xyz.com com um único curinga. A CA ou Autoridade de Certificação pode fornecer apenas um certificado SSL com um único (*). Você não pôde gerar uma Solicitação de Assinatura de Certificado com essa aparência . .xyz.com para tentar cobrir mais de um grupo de subdomínios de segundo nível.

A razão porque

O motivo pelo qual não é possível ter um certificado SSL com "curinga dupla" é que o espaço reservado, o asterisco, pode substituir apenas um campo no nome enviado à CA. Afinal, a CA precisa verificar todas as informações, e muitas variáveis ​​no certificado diminuiriam a segurança e a confiança que o certificado fornece.

Além disso, e isso é importante para os gerentes de TI e proprietários de sites, a segurança interna não pode ser comprometida com a mesma facilidade. Lembre-se de que qualquer tipo de problema de segurança após a instalação de um certificado SSL é muito mais provável de ocorrer uma violação de segurança interna em que alguém com acesso à chave privada e ao certificado pode configurar um site de subdomínio que é realmente coberto por o SSL.

deadManN
fonte
11
Devo observar que as diretrizes de resposta exigem que você cite partes essenciais de um artigo no seu corpo de resposta. Como esse link pode mudar com o tempo ou o artigo pode ser excluído. Caso contrário, pode não ser considerado uma resposta.
sr9yar 14/10
0

O que você pode fazer é algo como * .domínio.com e depois * .www.domínio.com ou * .mail.domínio.com. Eu nunca vi *. *. Domain.com em um site de produção.

Você pode obter um curinga (* .domínio.com), mas também precisará de * .www.domínio.com como uma entrada alternativa para o nome do assunto para que isso funcione. As únicas empresas que conheço oferecem isso são ssl.com e digicert. Pode haver outros, mas não tenho certeza.

Colt Blake
fonte
com letsencrypt, você também pode emitir certificados curinga. E eles permitem várias SAN. Então você pode definir um conjunto de SAN. Por exemplo -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentedreality