Certificado SSL comodín para subdominio de segundo nivel

93

¿Me gustaría saber si algún certificado admite un comodín doble como *.*.example.com? Acabo de hablar por teléfono con mi actual proveedor de SSL (register.com) y la chica de allí dijo que no ofrecen nada de eso y que, de todos modos, no creía que fuera posible.

¿Alguien puede decirme si esto es posible y si los navegadores lo admiten?

Aleksander Blomskøld
fuente
10
Para su información para futuros visitantes, ningún navegador admite un doble certificado comodín a *.*.example.compartir de 2015. No tengo idea de por qué.
Mahn
@Mahn Entonces usted tiene que escribir *.a.a.com, *.b.a.com, *.c.a.com, ... de forma manual?
William
1
@LiamWilliam aparentemente, no he encontrado otras combinaciones que les gusten a los navegadores hasta ahora. Es un dolor.
Mahn
1
@William sí, pero por otro lado, no use .para separar las cosas en su nombre de dominio que pertenecen juntas; los dominios son preocupaciones de dominio. Por qué lo necesitaría phpmyadmin.serverX.domain.com, cuando phpmyadmin-serverX.domain.comes semánticamente más preciso y más fácil de manejar en términos de DNS y TLS.
Daniel

Respuestas:

52

RFC2818 declara:

Si hay más de una identidad de un tipo dado en el certificado (por ejemplo, más de un nombre dNSName, se considera aceptable una coincidencia en cualquiera de los conjuntos). Los nombres pueden contener el carácter comodín * que se considera que coincide con cualquier componente de nombre de dominio o fragmento de componente. Por ejemplo, * .a.com coincide con foo.a.com pero no con bar.foo.a.com. f * .com coincide con foo.com pero no con bar.com.

Internet Explorer se comporta de la manera descrita por el RFC, donde cada nivel necesita su propio certificado comodín. Firefox está contento con un solo * .dominio.com donde * coincide con cualquier cosa delante de dominio.com, incluidos otros.niveles.dominio.com, pero también manejará los tipos *. *. Dominio.com también.

Entonces, para responder a su pregunta: es posible y es compatible con los navegadores.

Alex
fuente
55
¡Gracias! Las pruebas en FF 3.5.7 esta mañana mostraron que ahora cumple con RFC de la misma manera que IE. Rechazó mi certificado de .example.com para foo.bar.example.com. Entonces, para aclarar todo lo que necesito es otro certificado comodín que tiene *. .example.com como el nombre común?
77
Acabo de probar en FF 3.5 e IE 8 y ninguno aceptaría un certificado . .example.com. Creo que la única solución es usar múltiples certificados comodín.
Robert
99
¿Quién escribió esta norma? Esto no tiene valor. También una pérdida de dinero si me preguntas. ¿Qué protege?
Brent Pabst
66
Si los comodines dobles causan problemas, ¿funcionan los subdominios específicos en torno a los comodines? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup
2
@tudor FWIW, que acabo de probar, y Firefox me muestra una página Su conexión no es segura al acceder sub1.sub2.mydomain.comcon un *.mydomain.comcertificado, a pesar de considerar que el certificado es válido para sub2.mydomain.com. Entonces, lo mejor que puedo decir, esta respuesta es realmente incorrecta, al menos hoy. Teniendo en cuenta que también hubo un comentario publicado por alguien que decía que no podían reproducir el comportamiento el día en que se publicó la respuesta , soy escéptico sobre si alguna vez fue correcto.
Mark Amery
20

Solo para confirmar que FF e IE 8 NO aceptarán certificados en el formulario, *.*.example.comaunque es técnicamente posible crearlos.


fuente
2
Entonces qué tiene que escribir *.a.a.com, *.b.a.com, *.c.a.commanualmente?
William
2
@William, creo que sí. Esto es realmente desafortunado.
Franklin Yu
17

Cuando se emite el certificado SSL Wildcard para * .domain.com, puede asegurar su número ilimitado de subdominios sobre el dominio principal.

Por ejemplo:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .dominio.com

Si el certificado SSL comodín se emite en * .sub1.domain.com, en ese caso puede proteger todos los subdominios de segundo nivel que se enumeran en sub1.domain.com

Por ejemplo:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

Si desea asegurar un número limitado de subdominios y dominios de segundo nivel, puede elegir SSL multidominio que pueda proteger hasta 100 nombres de dominio con un solo certificado.

Por ejemplo:

  • dominio.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • dominio2.net
  • domain3.org

Debe conocer sus requisitos reales para elegir un certificado SSL.

Jason Parms
fuente
1
Esta es una buena comprensión, pero no responde la pregunta. Usted ha hablado de todas las combinaciones pero no el que el PO pidió ( . .Dominio.com).
Daniel W.
8

Esto podría valer una nueva ronda de pruebas con las versiones actuales del navegador.

Mis resultados de verificación rápida personal en: Firefox 20.0.1 parece que todavía no es compatible con esto. Muestra:

Este certificado solo es válido para *. *. Mydomain.com

... al navegar a https://svn.project.mydomain.com .

Internet Explorer 9.0:

El certificado de este sitio web fue hecho para otra dirección

Notas:

  • Ambas declaraciones traducidas del alemán al inglés por mí. Probablemente no utilicé las mismas frases que mostrarían las versiones del navegador en inglés.
  • Usé un certificado autofirmado. Lo que provocó que los navegadores mostraran una oración adicional de advertencia. Supongo que las citas anteriores también se mostrarán con un emisor de certificados de confianza. Verificar esto estaba fuera del alcance de mi "verificación rápida".
klaus thorn
fuente
7

Estaba haciendo un poco de investigación sobre esto, ya que también tengo los mismos requisitos para asegurar subdominios y encontré una solución de DigiCert.

Este certificados dice que apoyará yourdomain.com, *.yourdomain.com, *.*.yourdomain.comy así sucesivamente.

Actualmente es bastante caro, pero la esperanza es que otros proveedores comiencen a ofrecer certificados similares y reduzcan los precios.

F21
fuente
Este es el enfoque correcto. un certificado comodín con múltiples nombres (comodín) admitidos
drAlberT
Tenemos este certificado de digicert. Lo admite, pero no de manera predeterminada. Debe crear un certificado duplicado y especificar todos los subdominios en el certificado. No es automático.
L_7337
7

Todas las respuestas aquí están desactualizadas o no son completamente correctas, sin considerar el RFC 6125 de 2011.

Según el RFC 6125 , solo se permite un comodín en el fragmento más a la izquierda.

Válido:

*.sub.domain.tld
*.domain.tld

Inválido:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Un fragmento, o también llamado "etiqueta", es un componente cerrado, por ejemplo: *.com(2 etiquetas) no coincide label.label.com(3 etiquetas); esto ya se ha definido en RFC 2818.

Antes de 2011 en RFC 2818, la configuración no estaba completamente clara:

Las especificaciones para las tecnologías de aplicación existentes no son claras o consistentes sobre la ubicación permitida del carácter comodín.

Esto ha cambiado con RFC 6125 desde 2011 (6.4.3):

El cliente NO DEBE intentar hacer coincidir un identificador presentado en el que el carácter comodín comprende una etiqueta distinta de la etiqueta situada más a la izquierda (p. Ej., No coincide con la barra. *. Example.net).

Daniel W.
fuente
2

Aunque no estoy investigando tu pregunta, hace unos minutos leí algo al respecto:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

esto explica que no puedes usar doble asterisco


Editar

Agregue parte de la cotización en caso de que el sitio web caiga o sea demasiado largo para leer

Lo que no es posible es tratar de cubrir los subdominios de mail.xyz.com y photos.xyz.com con un solo comodín. La autoridad de certificación o CA solo puede proporcionar un certificado SSL con un solo (*). No pudo generar una Solicitud de firma de certificado que se pareciera . .xyz.com para tratar de cubrir más de un grupo de subdominio de segundo nivel.

La razón por la cual

Las razones por las que no es posible tener un certificado SSL de "doble comodín" es que el marcador de posición, el asterisco, solo puede reemplazar un campo en el nombre enviado a la CA. Después de todo, la CA tiene que verificar toda la información, y demasiadas variables en el certificado disminuirían la seguridad y la confianza que proporciona el certificado.

Además, y esto también es importante para los administradores de TI y los propietarios de sitios web, la seguridad interna no puede verse comprometida tan fácilmente. Tenga en cuenta que cualquier tipo de problema de seguridad una vez que un certificado SSL está en su lugar es mucho más probable que ocurra debido a una violación de seguridad interna en la que alguien con acceso a la clave privada y el certificado puede configurar un sitio web de subdominio que en realidad está cubierto por el SSL

hombre muerto
fuente
1
Debo tener en cuenta que las pautas de respuesta requieren que cites partes esenciales de un artículo en tu cuerpo de respuestas. Porque este enlace puede cambiar con el tiempo o el artículo puede ser eliminado. De lo contrario, puede no considerarse una respuesta.
sr9yar
0

Lo que puede hacer es algo como * .domain.com y luego * .www.domain.com o * .mail.domain.com. Nunca he visto *. *. Domain.com en un sitio de producción.

Puede obtener un comodín (* .dominio.com) pero también necesitará * .www.domain.com como una entrada alternativa de nombre de sujeto para que esto funcione. Las únicas compañías que conozco que ofrecen esto son ssl.com y digicert. Puede haber otros, pero no estoy seguro.

Colt Blake
fuente
con letsencrypt puedes emitir certificados comodines también. Y permiten múltiples SAN. Para que pueda definir un conjunto de SAN. Por ej -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
fragmentada