Por que meu certificado SSL curinga causa um erro de incompatibilidade de domínio em um subdomínio de segundo nível?

22

Eu tenho um servidor https://www.groups.example.com- no FireFox eu recebo a This Connection is Untrustedmensagem " " e os "detalhes técnicos" dizem

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

Que outras informações eu preciso fornecer para resolver isso? Apenas obtendo a confirmação da instalação, mas tenho 99% de certeza de que é Linux e está usando o VHOSTS. Atualizará a pergunta assim que isso for confirmado.

É o fato de que www.groups.example.com é visto como tendo 2 níveis de subdomínios?

O emissor é DigiCert

ssl https ssl-certificate pee2pee
fonte
2
Tenho certeza de que são os dois níveis de subdomínio que são o problema e tenho certeza de que essa é uma pergunta duplicada - mas não posso colocar minha mão na pergunta original no momento.
MadHatter suporta Monica
Você não pode usar um subdomínio da parte curinga e ter uma correspondência. Você precisaria usar SANs. Além disso, mydomain.comnão é a mesma coisa que example.org.
gparent
2
@gparent Geralmente, é uma boa ideia examinar o histórico de edições de uma pergunta quando você vê uma incompatibilidade como essa. Nesse caso, fui eu que perdi uma instância de mydomain.comquando eu estava consertando a postagem. (Quando munging nomes de domínio, deve-se sempre usar example.[com|org|net]ao invés de fazer algo como mydomain.como que realmente existe, mas não pertence ao cartaz.)
Jenny D diz Reintegrar Monica
11
@JennyD: +1 de mim! Outra, se eu pudesse, sobre o assunto sobre nomes de domínio alternativos (mas melhor ainda é não redigí-los).
MadHatter suporta Monica
11
@gparent Eu definitivamente concordo que as pessoas não devem mudar seu nome de domínio em primeiro lugar. Mas se o fizerem, pelo menos devem fazê-lo corretamente.
Jenny D diz Restabelecer Monica

Respostas:

47

A RFC 2818 em "3.1. Server Identity" afirma que

Os nomes podem conter o caractere curinga *que é considerado para corresponder a qualquer componente de nome de domínio único ou fragmento de componente. Por exemplo, *.a.comcombina foo.a.commas não bar.foo.a.com.

Então, sim, é o fato de que existem dois níveis de subdomínios.

Jenny D diz Restabelecer Monica
fonte
18
Alguém achou divertido o RFC2818 ignorar o RFC2606 ao escolher um exemplo de nome de domínio?
MadHatter apoia Monica
Também interessante que, embora o RFC2818 seja informativo , o padrão proposto RFC7230 se refere a ele como uma definição.
Esa Jokinen