it-swarm.com.de

Sollte ein Wildcard-SSL-Zertifikat sowohl die Stammdomäne als auch die Unterdomänen sichern?

Ich stelle diese Frage, weil Comodo mir mitteilt, dass ein Platzhalterzertifikat für * .example.com auch die Stammdomäne example.com sichert. Mit einem einzigen Zertifikat werden sowohl my.example.com als auch example.com ohne Warnung eines Browsers gesichert.

Dies ist jedoch bei dem mir zur Verfügung gestellten Zertifikat nicht der Fall. Meine Subdomains sind einwandfrei gesichert und geben keinen Fehler aus, aber die Root-Domain gibt einen Fehler im Browser aus, der besagt, dass die Identifizierung nicht überprüft werden kann.

Wenn ich dieses Zertifikat mit anderen ähnlichen Szenarien vergleiche, sehe ich, dass in den Szenarien, die ohne Fehler funktionieren, im SAN (Subject Alternative Name) sowohl * .example.com als auch example.com aufgeführt sind, während das aktuelle Zertifikat von Comodo nur * auflistet. example.com als allgemeiner Name und NICHT example.com als alternativer Betreffname.

Kann jemand bestätigen/klarstellen, dass die Root-Domain in SAN Details) aufgeführt sein sollte, wenn sie auch korrekt gesichert werden soll?

Wenn ich dies lese: http://www.digicert.com/subject-alternative-name.htm Es scheint, dass das SAN beide auflisten muss, um zu funktionieren wie ich es brauche. Was ist deine Erfahrung?

Vielen Dank.

85
josswinn

Es gibt einige Inkonsistenzen zwischen SSL-Implementierungen hinsichtlich der Übereinstimmung mit Platzhaltern. Sie benötigen jedoch den Stamm als alternativen Namen, damit dies mit den meisten Clients funktioniert.

Für ein *.example.com cert,

  • a.example.com sollte bestehen
  • www.example.com sollte bestehen
  • example.com sollte nicht bestehen
  • a.b.example.com kann je nach Implementierung bestehen (aber wahrscheinlich nicht).

Im Wesentlichen sagen die Standards, dass die * sollte mit 1 oder mehr Nicht-Punkt-Zeichen übereinstimmen, aber einige Implementierungen erlauben einen Punkt.

Die kanonische Antwort sollte in RFC 2818 (HTTP Over TLS) sein:

Der Abgleich erfolgt nach den in [RFC2459] angegebenen Abgleichsregeln. Wenn mehr als eine Identität eines bestimmten Typs im Zertifikat vorhanden ist (z. B. mehr als ein dNSName-Name, wird eine Übereinstimmung in einem der Sätze als akzeptabel angesehen.) Namen können das Platzhalterzeichen * enthalten, das als mit einem einzelnen übereinstimmend angesehen wird Domain Name Komponente oder Komponentenfragment. Z.B., *.a.com entspricht foo.a.com, aber nicht bar.foo.a.com. f*.com entspricht foo.com, aber nicht bar.com.

RFC 2459 sagt:

  • Ein Platzhalterzeichen "*" kann als Namenskomponente ganz links im Zertifikat verwendet werden. Beispielsweise, *.example.com würde mit a.example.com, foo.example.com usw. übereinstimmen, aber nicht mit example.com.

Wenn Sie ein Zertifikat für example.com, www.example.com und foo.example.com benötigen, benötigen Sie ein Zertifikat mit subjectAltNames, damit Sie "example.com" und "* .example.com" (oder Beispiel) haben .com und alle anderen Namen, die möglicherweise übereinstimmen müssen).

77
freiheit

Sie haben Recht, die Stammdomäne muss ein alternativer Name sein, damit sie überprüft werden kann.

15
Shane Madden

Jeder SSL-Anbieter, den ich jemals verwendet habe, fügt automatisch die Stammdomäne als alternativen Antragstellernamen zu einem Platzhalter-SSL-Zertifikat hinzu, sodass DOMAIN.COM automatisch für ein Platzhalterzertifikat * .DOMAIN.COM funktioniert.

6
user2001798