Eu estava pensando se um certificado SSL curinga necessariamente precisa ter um nome comum que contenha o nome de domínio dos sites aos quais o certificado SSL foi aplicado.
Por exemplo, para o seguinte:
Nome de domínio: testdomain.com
Subsites:
Preciso necessariamente do meu certificado curinga para ter um nome comum *.testdomain.com?
Respostas:
Sim, seu nome comum deve ser * .seudominio.com para um certificado curinga.
Basicamente, o Nome Comum é o que afirma para qual domínio o seu certificado é adequado, portanto, ele deve especificar o domínio real.
Esclarecimento: não deve "conter" o nome de domínio dos sites, deve ser o domínio dos sites. Acho que não há diferença na sua pergunta, só quero esclarecer, caso haja um equívoco sobre qual deve ser o domínio ou para que o certificado será usado.
Na verdade, você deve usar dnsNameentradas na subjectAltNameseção do certificado para especificar os FQDNs, não a parte CN do subject. O uso subjectdessa função foi preterido desde que a RFC 2818 foi publicada em 2000. Citando a seção 3.1 :
Se uma extensão subjectAltName do tipo dNSName estiver presente, isso DEVE ser usado como a identidade. Caso contrário, o campo (mais específico) de nome comum no campo Assunto do certificado DEVE ser usado. Embora o uso do Nome Comum seja uma prática existente, ele foi descontinuado e as Autoridades de Certificação são incentivadas a usar o dNSName.
O único caso em que o conteúdo do subjectsão relevantes no contexto de validação do certificado do servidor não é se não está dnsNameincluído no subjectAltName, um caso que foi substituído nos últimos 17 anos no momento da escrita.
O uso de certificados curinga foi descontinuado, conforme mostrado na seção 7.2 da RFC 6125 :
Este documento afirma que o caractere curinga '*' NÃO DEVE ser incluído nos identificadores apresentados, mas PODE ser verificado pelos clientes do aplicativo (principalmente por uma questão de compatibilidade com a infraestrutura implantada).
Usar a mesma chave privada para vários serviços geralmente é considerado uma má prática. Se um dos serviços for comprometido, as comunicações de outros serviços estarão em risco e você precisará substituir a chave (e o certificado) de todos os serviços.
Sugiro a RFC 6125 como uma boa fonte de informações sobre esse assunto.
dnsNamepode conter um domínio curinga. Além disso, o que deve estar subjectnesse caso?
subjectAltNamecontenha pelo menos um dnsName, o conteúdo do subjecté irrelevante no contexto da verificação do certificado.
Sim, o certificado SSL curinga é a melhor solução conforme suas necessidades. Com o certificado curinga, você poderá proteger as informações do seu visitante. Não importa qual página do seu site é enviada. O certificado curinga protege um número ilimitado de subdomínios que compartilham o mesmo nome de domínio.
A instalação do mesmo certificado curinga em todos os subdomínios e servidores transmite risco incorporado: se um servidor ou subdomínio for comprometido, todos os subdomínios também poderão ser comprometidos. Verifique se seu site está protegido com vários níveis de proteção contra todas as pressões externas e internas.