सवाल क्या वाइल्डकार्ड SSL प्रमाणपत्र रूट डोमेन के साथ-साथ उप-डोमेन दोनों को सुरक्षित रखना चाहिए?


मैं इस सवाल से पूछता हूं, क्योंकि कमोडो मुझे बता रहे हैं कि * .example.com के लिए वाइल्डकार्ड प्रमाणपत्र रूट डोमेन example.com भी सुरक्षित करेगा। तो एक प्रमाणपत्र के साथ, my.example.com और example.com दोनों ब्राउज़र से चेतावनी के बिना सुरक्षित हैं।

हालांकि, यह प्रमाण पत्र मुझे प्रदान नहीं किया गया है। मेरे उप-डोमेन सुरक्षित हैं और कोई त्रुटि नहीं देते हैं, लेकिन रूट डोमेन ब्राउज़र में एक त्रुटि फेंकता है, कहता है कि पहचान सत्यापित नहीं की जा सकती है।

जब मैं इस प्रमाण पत्र की तुलना अन्य समान परिदृश्यों से करता हूं, तो मुझे लगता है कि परिस्थितियों में जो त्रुटि के बिना काम करते हैं, विषय वैकल्पिक नाम (SAN) दोनों * .example.com और example.com दोनों को सूचीबद्ध करता है, जबकि कॉमोडो का हालिया प्रमाण पत्र केवल * सूचीबद्ध करता है। example.com नाम के रूप में example.com के रूप में example.com और example.com नहीं।

क्या कोई पुष्टि / स्पष्ट कर सकता है कि रूट डोमेन को SAN विवरण में सूचीबद्ध किया जाना चाहिए यदि इसे सही तरीके से सुरक्षित किया जा सके?

जब मैं इसे पढ़ता हूं: http://www.digicert.com/subject-alternative-name.htm ऐसा लगता है कि SAN को काम करने के लिए दोनों को सूचीबद्ध करना चाहिए क्योंकि मुझे इसकी आवश्यकता है। आपका अनुभव क्या है?

बहुत बहुत धन्यवाद।


71
2017-09-12 16:12


मूल




जवाब:


एसएसएल कार्यान्वयन के बीच कुछ असंगतता है कि वे वाइल्डकार्ड से कैसे मेल खाते हैं, हालांकि अधिकांश क्लाइंट के साथ काम करने के लिए आपको वैकल्पिक नाम के रूप में रूट की आवश्यकता होगी।

के लिए *.example.com प्रमाणपत्र,

  • a.example.com पास होना चाहिए
  • www.example.com पास होना चाहिए
  • example.com पास नहीं होना चाहिए
  • a.b.example.com कार्यान्वयन के आधार पर पारित हो सकता है (लेकिन शायद नहीं)।

अनिवार्य रूप से, मानकों का कहना है कि * 1 या अधिक गैर-डॉट वर्णों से मेल खाना चाहिए, लेकिन कुछ कार्यान्वयन एक बिंदु को अनुमति देते हैं।

कैनोलिक जवाब में होना चाहिए आरएफसी 2818 (टीएलएस पर HTTP):

मिलान द्वारा निर्धारित मिलान नियमों का उपयोग करके मिलान किया जाता है     [RFC2459]। यदि किसी दिए गए प्रकार की एक से अधिक पहचान मौजूद है     प्रमाण पत्र (उदा।, एक से अधिक डीएनएसनाम नाम, किसी एक मैच में     सेट के स्वीकार्य माना जाता है।) नामों में वाइल्डकार्ड हो सकता है     चरित्र * जिसे किसी एकल डोमेन नाम से मेल खाने के लिए माना जाता है     घटक या घटक खंड। जैसे, *.a.com foo.a.com से मेल खाता है लेकिन     bar.foo.a.com नहीं। f*.com foo.com से मेल खाता है लेकिन bar.com नहीं।

आरएफसी 245 9 कहते हैं:

  • एक "*" वाइल्डकार्ड चरित्र का उपयोग बाएं सबसे अधिक नाम के रूप में किया जा सकता है   प्रमाण पत्र में घटक। उदाहरण के लिए, *.example.com होगा   a.example.com से मेल करें, foo.example.com, आदि लेकिन मेल नहीं खाएगा   example.com।

अगर आपको example.com, www.example.com और foo.example.com के लिए काम करने के लिए प्रमाण पत्र की आवश्यकता है, तो आपको topicAltNames के साथ एक प्रमाणपत्र की आवश्यकता है ताकि आपके पास "example.com" और "* .example.com" (या उदाहरण हो) .com और अन्य सभी नाम जिन्हें आप मिलान करने की आवश्यकता हो सकती हैं)।


64
2017-09-12 16:33





आप सही हैं, रूट डोमेन को सत्यापित करने के लिए वैकल्पिक नाम होना आवश्यक है।


11
2017-09-12 16:34





प्रत्येक एसएसएल प्रदाता जो मैंने कभी भी उपयोग किया है, स्वचालित रूप से रूट डोमेन को विषय वैकल्पिक नाम के रूप में एक वाइल्डकार्ड SSL प्रमाणपत्र में जोड़ देगा, इसलिए DOMAIN.COM स्वचालित रूप से * DOMAIN.COM वाइल्डकार्ड प्रमाण के लिए काम करेगा।


4
2018-04-22 22:34



यह 2017-09-20 के रूप में एडब्ल्यूएस प्रमाणपत्र प्रबंधक के लिए सच नहीं है। - pho3nixf1re
SAN प्रमाण पत्र के लिए कोई "रूट" डोमेन नहीं है जो एकाधिक रूट डोमेन सुरक्षित कर सकता है। - Jez


वाइल्डकार्ड प्रमाण पत्र आदर्श रूप से जेनरेट किए जाते हैं * .example.com इस प्रमाणपत्र के साथ अपने उप-डोमेन और डोमेन को सुरक्षित करने के लिए, आपको बस इन डोमेन पर इंगित करने वाले सर्वरों पर एक ही प्रमाणपत्र स्थापित करना होगा।

पूर्व के लिए - आपके पास * .example.com के लिए वाइल्डकार्ड प्रमाण पत्र है one.example.com - सर्वर 1 example.com - सर्वर 2

आपको इस प्रमाणपत्र को सर्वर 1 और सर्वर 2 पर स्थापित करने की आवश्यकता है।


-2
2018-04-14 08:17