Nombre común SSL comodín: ¿se puede llamar de alguna manera?

34

Me preguntaba si un certificado SSL comodín necesariamente debe tener un nombre común que contenga el nombre de dominio de los sitios a los que se debe aplicar el certificado SSL.

Por ejemplo, para lo siguiente:

Nombre de dominio: testdomain.com

Subsitios:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

¿Necesito necesariamente que mi certificado comodín tenga un nombre común *.testdomain.com?

ssl-certificate 
retruécano
fuente
serverfault.com podría ser un mejor lugar para esta pregunta.

Respuestas:

38

Sí, su nombre común debe ser * .yourdomain.com para un certificado comodín.

Básicamente, el nombre común es lo que indica para qué dominio es bueno su certificado, por lo que debe especificar el dominio real.

Aclaración: no debe "contener" el nombre de dominio de los sitios, debe ser el dominio de los sitios. Supongo que no hay diferencia en su pregunta, solo quería aclarar, en caso de que haya una idea errónea de cuál debería ser el dominio o para qué se utilizará el certificado.

Daniel Magliola
fuente
4

En realidad, debe usar dnsNameentradas en la subjectAltNamesección del certificado para especificar los FQDN, no la parte CN del subject. El uso subjectde este para este propósito ha quedado en desuso desde que se publicó RFC 2818 en 2000. Citando la sección 3.1 :

Si está presente una extensión subjectAltName de tipo dNSName, DEBE usarse como identidad. De lo contrario, DEBE utilizarse el campo de Nombre común (más específico) en el campo Asunto del certificado. Aunque el uso del nombre común es una práctica existente, está en desuso y se alienta a las autoridades de certificación a utilizar el dNSName.

El único caso en el que el contenido de los subjectmismos es relevante en el contexto de la validación del certificado del servidor es si no se dnsNameincluye en el subjectAltName, un caso que ha quedado en desuso durante los últimos 17 años en el momento de la escritura.

El uso de certificados comodín está en desuso, como se muestra en la sección 7.2 del RFC 6125 :

Este documento establece que el carácter comodín '*' NO DEBE incluirse en los identificadores presentados, pero PUEDE ser verificado por los clientes de la aplicación (principalmente por razones de compatibilidad con la infraestructura implementada).

Usar la misma clave privada para varios servicios generalmente se considera una mala práctica. Si uno de los servicios se ve comprometido, las comunicaciones de otros servicios estarán en riesgo y tendrá que reemplazar la clave (y el certificado) para todos los servicios.

Sugiero RFC 6125 como una buena fuente de información sobre este asunto.

Erwan Legrand
fuente
"Y también lo son los certificados comodín": ¿podría dar más detalles? dnsNamepuede contener un dominio comodín. Además, ¿qué debería haber subjecten ese caso?
WoJ
Eche un vistazo a RFC 6125 secciones 1.5 y 7.2 . Siempre que subjectAltNamecontenga al menos uno dnsName, el contenido de los subjectmismos es irrelevante en el contexto de la verificación del certificado.
Erwan Legrand
@WoJ He editado mi respuesta. Espero que todo esto esté más claro ahora.
Erwan Legrand
3

Sí, Wildcard SSL Certificate es la mejor solución según sus requisitos. Con el certificado Wildcard podrá proteger la información de sus visitantes. No importa qué página de su sitio web se envíe. El certificado comodín asegura un número ilimitado de subdominios que comparten el mismo nombre de dominio.

La instalación del mismo certificado comodín en todos los subdominios y servidores transmite un riesgo incorporado: si un servidor o subdominio se ve comprometido, todos los subdominios pueden verse igualmente comprometidos. Asegúrese de que su sitio web esté protegido con múltiples niveles de protección contra toda presión externa e interna.

Jay Dan
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.