Nome comum SSL curinga - pode ser chamado de alguma coisa?

34

Eu estava pensando se um certificado SSL curinga necessariamente precisa ter um nome comum que contenha o nome de domínio dos sites aos quais o certificado SSL foi aplicado.

Por exemplo, para o seguinte:

Nome de domínio: testdomain.com

Subsites:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Preciso necessariamente do meu certificado curinga para ter um nome comum *.testdomain.com?

ssl-certificate trocadilho
fonte
serverfault.com pode ser um lugar melhor para esta pergunta.

Respostas:

38

Sim, seu nome comum deve ser * .seudominio.com para um certificado curinga.

Basicamente, o Nome Comum é o que afirma para qual domínio o seu certificado é adequado, portanto, ele deve especificar o domínio real.

Esclarecimento: não deve "conter" o nome de domínio dos sites, deve ser o domínio dos sites. Acho que não há diferença na sua pergunta, só quero esclarecer, caso haja um equívoco sobre qual deve ser o domínio ou para que o certificado será usado.

Daniel Magliola
fonte
4

Na verdade, você deve usar dnsNameentradas na subjectAltNameseção do certificado para especificar os FQDNs, não a parte CN do subject. O uso subjectdessa função foi preterido desde que a RFC 2818 foi publicada em 2000. Citando a seção 3.1 :

Se uma extensão subjectAltName do tipo dNSName estiver presente, isso DEVE ser usado como a identidade. Caso contrário, o campo (mais específico) de nome comum no campo Assunto do certificado DEVE ser usado. Embora o uso do Nome Comum seja uma prática existente, ele foi descontinuado e as Autoridades de Certificação são incentivadas a usar o dNSName.

O único caso em que o conteúdo do subjectsão relevantes no contexto de validação do certificado do servidor não é se não está dnsNameincluído no subjectAltName, um caso que foi substituído nos últimos 17 anos no momento da escrita.

O uso de certificados curinga foi descontinuado, conforme mostrado na seção 7.2 da RFC 6125 :

Este documento afirma que o caractere curinga '*' NÃO DEVE ser incluído nos identificadores apresentados, mas PODE ser verificado pelos clientes do aplicativo (principalmente por uma questão de compatibilidade com a infraestrutura implantada).

Usar a mesma chave privada para vários serviços geralmente é considerado uma má prática. Se um dos serviços for comprometido, as comunicações de outros serviços estarão em risco e você precisará substituir a chave (e o certificado) de todos os serviços.

Sugiro a RFC 6125 como uma boa fonte de informações sobre esse assunto.

Erwan Legrand
fonte
"E os certificados curinga também": você poderia elaborar? dnsNamepode conter um domínio curinga. Além disso, o que deve estar subjectnesse caso?
WoJ 27/04
Dê uma olhada nas seções 1.5 e 7.2 da RFC 6125 . Desde que subjectAltNamecontenha pelo menos um dnsName, o conteúdo do subjecté irrelevante no contexto da verificação do certificado.
Erwan Legrand
@WoJ eu editei minha resposta. Espero que tudo esteja mais claro agora.
Erwan Legrand
3

Sim, o certificado SSL curinga é a melhor solução conforme suas necessidades. Com o certificado curinga, você poderá proteger as informações do seu visitante. Não importa qual página do seu site é enviada. O certificado curinga protege um número ilimitado de subdomínios que compartilham o mesmo nome de domínio.

A instalação do mesmo certificado curinga em todos os subdomínios e servidores transmite risco incorporado: se um servidor ou subdomínio for comprometido, todos os subdomínios também poderão ser comprometidos. Verifique se seu site está protegido com vários níveis de proteção contra todas as pressões externas e internas.

Jay Dan
fonte