curinga ssl no subdomínio [fechado]


146

temos certificado SSL curinga para * .domínio.com e um site com sub1.sub2.domain.com

o safari 4.0.4 no MacOsx exibe um erro de certificado (presumivelmente por causa da interpretação de caracteres curinga), enquanto o safari 4 no windows não.

também o comportamento do ie8 é misto na melhor das hipóteses, alguns ie8 não exibem o erro de certificado e outros não.

O que causa esse comportamento estranho no Safari e no IE?


4
só percebi deste problema após a compra de um novo certificado de 2 anos ...
Rafa

Respostas:


192

Um certificado SSL curinga para * .example.net corresponderá a sub.example.net, mas não a sub.sub.example.net .

De RFC 2818 :

A correspondência é realizada usando as regras de correspondência especificadas pelo RFC2459 . Se mais de uma identidade de um determinado tipo estiver presente no certificado (por exemplo, mais de um nome dNSName, uma correspondência em qualquer um dos conjuntos é considerada aceitável.) Os nomes podem conter o caractere curinga *que corresponde a qualquer domínio único nome componente ou fragmento de componente. Por exemplo, *.a.comcombina foo.a.commas não bar.foo.a.com. f*.comcorresponde, foo.commas não bar.com.


5
@ Chris Acho que não, existem vários fatores técnicos que restringem essa regra e obrigaram as autoridades de certificação a desenvolver o certificado de segurança de acordo.

51
@sophie vários fatores técnicos, como se alguém percebesse que é mais lucrativo vender certificados infinitos do que permitir que 1 certificado cubra todos os cenários até o infinito.
Chris Marisic

3
Consulte blackhat.com/presentations/bh-dc-09/Marlinspike/… slide 91 para obter uma possível ameaça à segurança com certificados curinga. Ver também media.blackhat.com/bh-ad-10/Hansen/... corrediça 38.
Carl

5
@ user1602478: quais são esses fatores técnicos?
Iconoclast

5
você pode ter *.*.example.comque proteger subdomínios de primeiro e segundo nível?
Shane Rowatt

67

Se você precisar de um certificado curinga que contenha sites * .domain.com e também trabalhe com sub1.sub2.domain.com ou outro domínio como * .domain2.com, poderá resolvê-lo com um único certificado curinga com o que é chamado de assunto extensão de nome alternativo (SAN) para cada um dos outros subdomínios. Um certificado SAN não é apenas para vários nomes de host específicos, mas também pode ser criado para entradas de curingas.

Por exemplo, * .domínio.com, sub1.sub2.domínio.com e * .domínio2.com teriam um Nome comum de * .domínio.com e, em seguida, você anexaria um nome alternativo de assunto para * .domínio2.com e * .sub2.domínio.com. Pode depender da Autoridade de Certificação a forma como eles cobrariam (ou não) pelo certificado, mas há alguns por aí em que essa oferta está disponível. Além disso, o SAN é um suporte bastante difundido no espaço do navegador da web. O melhor exemplo do mundo real desse uso, é o certificado SSL do Google. Abra o google e veja seu certificado SSL, você verá que ele funciona para * .google.com, * .youtube.com, * .gmail.com e muito mais, onde eles estão listados como nomes alternativos de assunto.


7
Quais são os exemplos de autoridades de certificação que emitem esses certificados?
Arto Bendiken

14
Portanto, seria possível obter um certificado *.DOMAIN.COMque possua uma SAN para *.*.DOMAIN.COM(e possivelmente *.*.*.DOMAIN.COM) cobrir esses subdomínios e subdomínios?
Simon Médio

4
@SimonEast não é possível.
Nick

Essa deve ser a resposta aceita. @ Nick, vá para sslshopper.com/ssl-checker.html#hostname=google.com e dê uma olhada na seção SAN
Nehal J Wani

@NehalJWani o que devo procurar?
Nick

18

O curinga é aplicado apenas à primeira parte (da esquerda) do seu domínio. Então, você precisará de um certificado para * .sub2.domain.com

Se você quis dizer que você tem sub1.domínio.com e sub2.domínio.com, deve funcionar.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.