שאלה אישור SSL של תו כללי עבור תת-דומיין ברמה שנייה


אני רוצה לדעת אם אישורים כלשהם תומכים בתו כללי כפול *.*.example.com? אני רק בטלפון עם ספק ה- SSL הנוכחי שלי (register.com) והנערה שם אמרו שהם לא מציעים דבר כזה ושהיא לא חושבת שזה אפשרי בכל מקרה.

האם מישהו יכול להגיד לי אם זה אפשרי, ואם הדפדפנים תומכים בכך?


76
2018-01-19 14:34




FYI למבקרים עתידיים, דפדפן לא תומך באישור כפול של תווים כלליים *.*.example.com כמו של 2015. אין מושג למה. - Mahn
@Mahn אז אתה צריך לכתוב *.a.a.com,*.b.a.com,*.c.a.com, ... באופן ידני? - William
@ LiamWilliam ככל הנראה, לא מצאתי שילובים אחרים שדפדפנים כמו עד עכשיו. זה כאב. - Mahn


תשובות:


RFC2818 מדינות:

אם יותר מזהות אחת של נתון   סוג קיים בתעודה   (למשל, שם dNSName אחד, a   התאמה בכל אחד מהסט הוא   נחשב מקובל.) שמות   להכיל את תו כלליים * אשר   נחשב לכל אחד   רכיב שם רכיב או רכיב   שבר. למשל, התאמות * .a.com   foo.a.com אך לא bar.foo.a.com.   F * .com תואם FOO.com אבל לא   bar.com.

Internet Explorer מתנהג בדרך המתוארת על ידי RFC, שבו כל רמה זקוקה לאישור משלו. פיירפוקס מאושרת עם * .domain.com * שם * תואם כל דבר מול domain.com, כולל other.levels.domain.com, אבל גם לטפל בסוגי *. *. Domain.com גם כן.

לכן, כדי לענות על השאלה שלך: זה אפשרי, ונתמך על ידי דפדפנים.


47
2018-01-19 15:36



תודה! בדיקה על FF 3.5.7 הבוקר הראה כי עכשיו RFC תואם באותו אופן כמו IE. הוא דחה את שלי .example.com cert for foo.bar.example.com. אז רק כדי להבהיר את כל מה שאני צריך זה עוד תו כללי שיש לו *..example.com בשם המשותף?
נכון, בהתבסס על זה אתה צריך *. *. example.com - Alex
אני רק נבדק ב FF 3.5 ו IE 8 וגם לא יקבל אישור ..example.com. אני חושב שהפתרון היחיד הוא להשתמש במספר תעודות כלליים. - Robert
מי כתב תקן זה? זה חסר ערך. גם בזבוז כסף אם תשאל אותי. מה זה מגן? - Brent Pabst
אם בתווים דו-תכליתיים גורמים לבעיות, האם תת-תחומים ספציפיים פועלים סביב תווים כלליים? ala SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com - rcoup


רק כדי לאשר FF ו- IE 8 לא יקבלו אישורים בטופס *.*.example.com אם כי מבחינה טכנית ניתן ליצור אותם.


18
2018-01-27 16:36



אז אתה צריך לכתוב *.a.a.com,*.b.a.com,*.c.a.com ידנית? - William
@ ויליאם אני חושב שכן. זה באמת מצער. - Franklin Yu


כאשר תווית Wildcard SSL מוענקת עבור * .domain.com, תוכל לאבטח את מספר בלתי מוגבל של תחומים משנה מעל התחום הראשי.

לדוגמה:

  • sub1.domain.com
  • תת
  • תת
  • תת *

אם תעודת ה- SSL של Wildcard מונפקת ב- * .sub1.domain.com, במקרה זה תוכל לאבטח את כל תת-הדומיינים ברמה השנייה המפורטים תחת sub1.domain.com

לדוגמה:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • *** תת - תת - תחום

אם אתה רוצה לאבטח מספר מוגבל של תחומים משנה ותחומים ברמה השנייה, תוכל לבחור SSL רב-תחומי שיכול לאבטח עד 100 שמות דומיין עם אישור יחיד.

לדוגמה:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • דומיין
  • domain3.org

אתה צריך לדעת את הדרישות בפועל כדי לבחור אישור SSL.


16
2018-01-08 12:19



זוהי הבנה טובה אבל לא עונה על השאלה. הזכרת את כל השילובים אבל לא את אחד ביקש OP (..domain.com). - DanFromGermany


זה יכול להיות שווה סבב חדש של בדיקות עם גירסאות דפדפן הנוכחי.

תוצאות הבדיקה המהירה האישית שלי ב: Firefox 20.0.1 נראה עדיין לא תומך בכך. זה מראה:

אישור זה תקף רק עבור *. * Mydomain.com

... בעת גלישה ל https://svn.project.mydomain.com.

Internet Explorer 9.0:

האישור של אתר זה נעשה עבור כתובת אחרת

הערות:

  • שתי התבטאויות מתורגמות מגרמנית לאנגלית, על ידי. כנראה שאני לא משתמש באותם ביטויים כמו גרסאות דפדפן אנגלית יראה.
  • השתמשתי בתעודה חתומה. מה שגרם לדפדפנים להראות משפט אזהרה נוסף. אני מניח כי הציטוטים לעיל יהיה גם מוצג עם מנפיק תעודת מהימן. אימות זה היה מחוץ לטווח של "בדיקה מהירה" שלי.

8
2017-09-17 16:19





אני רק עושה קצת מחקר על זה כמו שיש לי את אותן הדרישות כדי לאבטח תת subdomains וכן נתקלתי a פתרון מ - DigiCert.

אישורים אלה אומרים שהוא יתמוך yourdomain.com, *.yourdomain.com, *.*.yourdomain.com וכן הלאה.

זה כרגע די יקר, אבל התקווה היא כי ספקים אחרים יתחילו להציע תעודות דומות ולהפחית מחירים.


7
2018-01-06 23:54



זוהי הגישה הנכונה. תו כללי עם תמיכה במספר שמות (תווים כלליים) נתמכים - drAlberT
יש לנו אישור זה digicert. הוא תומך בו, אך לא כברירת מחדל. עליך ליצור שכפול cert ולציין את כל תת-הדומיינים ב- cert. זה לא אוטומטי. - L_7337


למרות שאני לא מסתכל לתוך השאלה שלך, אני פשוט קרה לקרוא משהו על זה לפני דקות:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

זה מסביר כי אתה לא יכול להשתמש כוכבית כפולה


1
2018-05-14 06:52





מה שאתה יכול לעשות הוא משהו כמו *. Domain.com ולאחר מכן * .www.domain.com או *. מעולם לא ראיתי *. *. Domain.com באתר הייצור.

אתה יכול לקבל תווים כלליים (*. Domain.com) אבל אתה גם צריך * .www.domain.com כחלופה שם הנושא כניסה כדי לקבל את זה לעבוד. החברות היחידות שאני יודע להציע זה ssl.com ו digicert. אולי יש אחרים אבל אני לא בטוח.


0
2018-02-12 17:25