Determinar se o certificado SSL suporta subdomínios curinga?

8

Esperando que esta seja a pilha certa para perguntar. Caso contrário, indique-me a correta.

Estou trabalhando com um cliente no momento e preciso saber se o certificado SSL suporta domínios curinga ou não. Os engenheiros do seu lado não estão cientes da resposta, e temo que demore muito para descobrir.

Existe uma maneira de saber isso ou não com base no certificado visível no navegador?

ssl-certificate

— Geuis
fonte

6

o certificado ssl está vinculado a um nome de domínio - portanto, basta inspecionar o certificado e, se o domínio listado for * .domain.com, será um curinga - se o domínio for domain.com, será específico para esse domínio.

— l0ft13
fonte

Obrigado. Se eu verificar o certificado em sua página inicial, ele estará no formato * .domínio.com. Se eu verificar a página de login deles, o certificado aparecerá como login.domain.com. Além disso, em outra página https ui.domain.com , o Nome comum no certificado é listado como ui.domain.com. Então, isso significa que todos os subdomínios estão sendo cobertos por * .domain.com ou eles têm certificados individuais para cada seção do site?

— Geuis 17/08/2012

Parece que eles têm que ter um certificado curinga + alguns certificados regulares

4

Isso pode ser feito verificando o nome comum no assunto do SSL. Você pode usar o comando bash opensslem clientes * NIX.

Por exemplo, google.com e www.google.com usam dois SSLs diferentes. O primeiro é um curinga, o segundo é específico do domínio.

$ echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
*.google.com
$ echo | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
www.google.com

— Steve Robbins
fonte