¿Me gustaría saber si algún certificado admite un comodín doble como *.*.example.com
? Acabo de hablar por teléfono con mi actual proveedor de SSL (register.com) y la chica de allí dijo que no ofrecen nada de eso y que, de todos modos, no creía que fuera posible.
¿Alguien puede decirme si esto es posible y si los navegadores lo admiten?
ssl
subdomain
certificate
wildcard
Aleksander Blomskøld
fuente
fuente
*.*.example.com
partir de 2015. No tengo idea de por qué.*.a.a.com
,*.b.a.com
,*.c.a.com
, ... de forma manual?.
para separar las cosas en su nombre de dominio que pertenecen juntas; los dominios son preocupaciones de dominio. Por qué lo necesitaríaphpmyadmin.serverX.domain.com
, cuandophpmyadmin-serverX.domain.com
es semánticamente más preciso y más fácil de manejar en términos de DNS y TLS.Respuestas:
RFC2818 declara:
Internet Explorer se comporta de la manera descrita por el RFC, donde cada nivel necesita su propio certificado comodín. Firefox está contento con un solo * .dominio.com donde * coincide con cualquier cosa delante de dominio.com, incluidos otros.niveles.dominio.com, pero también manejará los tipos *. *. Dominio.com también.
Entonces, para responder a su pregunta: es posible y es compatible con los navegadores.
fuente
SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
sub1.sub2.mydomain.com
con un*.mydomain.com
certificado, a pesar de considerar que el certificado es válido parasub2.mydomain.com
. Entonces, lo mejor que puedo decir, esta respuesta es realmente incorrecta, al menos hoy. Teniendo en cuenta que también hubo un comentario publicado por alguien que decía que no podían reproducir el comportamiento el día en que se publicó la respuesta , soy escéptico sobre si alguna vez fue correcto.Solo para confirmar que FF e IE 8 NO aceptarán certificados en el formulario,
*.*.example.com
aunque es técnicamente posible crearlos.fuente
*.a.a.com
,*.b.a.com
,*.c.a.com
manualmente?Cuando se emite el certificado SSL Wildcard para * .domain.com, puede asegurar su número ilimitado de subdominios sobre el dominio principal.
Por ejemplo:
Si el certificado SSL comodín se emite en * .sub1.domain.com, en ese caso puede proteger todos los subdominios de segundo nivel que se enumeran en sub1.domain.com
Por ejemplo:
Si desea asegurar un número limitado de subdominios y dominios de segundo nivel, puede elegir SSL multidominio que pueda proteger hasta 100 nombres de dominio con un solo certificado.
Por ejemplo:
Debe conocer sus requisitos reales para elegir un certificado SSL.
fuente
Esto podría valer una nueva ronda de pruebas con las versiones actuales del navegador.
Mis resultados de verificación rápida personal en: Firefox 20.0.1 parece que todavía no es compatible con esto. Muestra:
... al navegar a https://svn.project.mydomain.com .
Internet Explorer 9.0:
Notas:
fuente
Estaba haciendo un poco de investigación sobre esto, ya que también tengo los mismos requisitos para asegurar subdominios y encontré una solución de DigiCert.
Este certificados dice que apoyará
yourdomain.com
,*.yourdomain.com
,*.*.yourdomain.com
y así sucesivamente.Actualmente es bastante caro, pero la esperanza es que otros proveedores comiencen a ofrecer certificados similares y reduzcan los precios.
fuente
Todas las respuestas aquí están desactualizadas o no son completamente correctas, sin considerar el RFC 6125 de 2011.
Según el RFC 6125 , solo se permite un comodín en el fragmento más a la izquierda.
Válido:
Inválido:
Un fragmento, o también llamado "etiqueta", es un componente cerrado, por ejemplo:
*.com
(2 etiquetas) no coincidelabel.label.com
(3 etiquetas); esto ya se ha definido en RFC 2818.Antes de 2011 en RFC 2818, la configuración no estaba completamente clara:
Esto ha cambiado con RFC 6125 desde 2011 (6.4.3):
fuente
Aunque no estoy investigando tu pregunta, hace unos minutos leí algo al respecto:
https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php
esto explica que no puedes usar doble asterisco
Editar
Agregue parte de la cotización en caso de que el sitio web caiga o sea demasiado largo para leer
fuente
Lo que puede hacer es algo como * .domain.com y luego * .www.domain.com o * .mail.domain.com. Nunca he visto *. *. Domain.com en un sitio de producción.
Puede obtener un comodín (* .dominio.com) pero también necesitará * .www.domain.com como una entrada alternativa de nombre de sujeto para que esto funcione. Las únicas compañías que conozco que ofrecen esto son ssl.com y digicert. Puede haber otros, pero no estoy seguro.
fuente
-d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com
.