comodín ssl en sub-subdominio [cerrado]


146

Tenemos un certificado SSL comodín para * .dominio.com, y tenemos un sitio web con sub1.sub2.domain.com

Safari 4.0.4 en MacOsx muestra un error de certificado (presumiblemente debido a la interpretación de comodines), mientras que Safari 4 en Windows no.

también el comportamiento de ie8 es mixto en el mejor de los casos, algunos ie8 no muestran el error del certificado y otros no.

¿Qué causa este extraño comportamiento en Safari e IE?


44
acabo de darme cuenta de este problema después de comprar un nuevo certificado de 2 años ...
Rafa

Respuestas:


192

Un certificado SSL comodín para * .example.net coincidirá con sub.example.net pero no con sub.sub.example.net .

De RFC 2818 :

La coincidencia se realiza utilizando las reglas de coincidencia especificadas por RFC2459 . Si hay más de una identidad de un tipo dado en el certificado (por ejemplo, más de un nombre dNSName, se considera aceptable una coincidencia en cualquiera de los conjuntos). Los nombres pueden contener el carácter comodín *que se considera que coincide con cualquier dominio único nombre componente o fragmento de componente. Por ejemplo, *.a.comcoincide foo.a.compero no bar.foo.a.com. f*.comcoincide foo.compero no bar.com.


55
@ Chris No lo creo, hay varios factores técnicos que restringen dicha regla y obligaron a las autoridades de certificación a desarrollar el certificado de seguridad en consecuencia.

51
@sophie varios factores técnicos, como alguien se dio cuenta de que es más rentable vender certificados de infinito que permitir que 1 certificado cubra cada escenario hasta el infinito.
Chris Marisic

3
Consulte blackhat.com/presentations/bh-dc-09/Marlinspike/… diapositiva 91 para ver una posible amenaza de seguridad con certificados comodín. También vea media.blackhat.com/bh-ad-10/Hansen/… diapositiva 38.
Carl

55
@ user1602478: ¿cuáles son esos factores técnicos?
iconoclasta

55
¿puede tener *.*.example.comque asegurar subdominios de primer y segundo nivel?
Shane Rowatt

67

Si necesita un certificado comodín que contenga sitios * .dominio.com y también funcione con sub1.sub2.domain.com u otro dominio como * .dominio2.com, puede resolverlo con un solo certificado comodín con lo que se denomina un asunto extensión de nombre alternativo (SAN) para cada uno de los otros subdominios secundarios. Un certificado SAN no es solo para múltiples nombres de host específicos, también se puede crear para entradas comodín.

Por ejemplo, * .dominio.com, sub1.sub2.domain.com y * .dominio2.com tendrían un Nombre común de * .dominio.com y luego adjuntaría un nombre alternativo de sujeto de * .dominio2.com y * .sub2.domain.com. Puede depender de la Autoridad de Certificación en cuanto a cómo le cobrarían (o no) por el certificado, pero hay algunos por ahí donde esta oferta está disponible. Además, SAN es un soporte bastante extendido en el espacio del navegador web. El mejor ejemplo del mundo real de este uso, es el certificado SSL de Google. Vaya a abrir google y vea su certificado SSL, verá que funciona para * .google.com, * .youtube.com, * .gmail.com, y un montón más donde se enumeran como nombres alternativos de sujeto.


77
¿Cuáles son ejemplos de AC que emitirían dichos certificados?
Arto Bendiken

14
Entonces, ¿sería posible obtener un certificado *.DOMAIN.COMque tenga una SAN para *.*.DOMAIN.COM(y posiblemente *.*.*.DOMAIN.COM) para cubrir estos sub-subdominios y sub-sub-subdominios?
Simon East

44
@SimonEast no es posible.
Nick

Esta debería ser la respuesta aceptada. @Nick, vaya a sslshopper.com/ssl-checker.html#hostname=google.com y eche un vistazo a la sección SAN
Nehal J Wani

@NehalJWani, ¿qué debo buscar?
Nick

18

El comodín solo se aplica a la primera parte (desde la izquierda) de su dominio. Por lo tanto, necesitará un certificado para * .sub2.domain.com

Si quisiste decir que tienes sub1.domain.com y sub2.domain.com, entonces debería funcionar.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.