¿Por qué mi certificado SSL comodín causa un error de desajuste de dominio en un subdominio de segundo nivel?

22

Tengo un servidor https://www.groups.example.com: en Firefox recibo el This Connection is Untrustedmensaje " " y los "detalles técnicos" dicen

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

¿Qué otra información necesito proporcionar para resolver esto? Solo obtengo la confirmación de la configuración, pero estoy 99% seguro de que es Linux y está usando VHOSTS. Actualizará la pregunta tan pronto como se confirme.

¿Es el hecho de que www.groups.example.com se considera que tiene 2 niveles de subdominios?

El emisor es DigiCert

ssl https ssl-certificate pee2pee
fuente
2
Estoy seguro de que son los dos niveles de subdominio los que son el problema, y ​​estoy bastante seguro de que esta es una pregunta duplicada, pero no puedo poner la mano en la pregunta original en este momento.
MadHatter apoya a Monica el
No puede usar un subdominio de la parte comodín y tener una coincidencia. Tendría que usar SAN. Además, mydomain.comno es lo mismo que example.org.
gparent
2
@gparent Por lo general, es una buena idea mirar el historial de edición de una pregunta cuando ve una discrepancia como esa. En este caso, fui yo quien se perdió una instancia de mydomain.comcuando estaba arreglando la publicación. (Al mezclar nombres de dominio, siempre se debe usar en example.[com|org|net]lugar de inventar algo como lo mydomain.comque realmente existe pero que no pertenece al afiche).
Jenny D dice Reinstate Monica el
1
@JennyD: ¡+1 de mi parte! Otro, si pudiera, para el punto sobre mezclar nombres de dominio (pero mejor aún es no redactarlos en absoluto).
MadHatter apoya a Monica el
1
@gparent Definitivamente estoy de acuerdo en que las personas no deberían modificar su nombre de dominio en primer lugar. Pero si lo hacen, al menos deberían hacerlo correctamente.
Jenny D dice Restablecer a Mónica el

Respuestas:

47

RFC 2818 en "3.1. Identidad del servidor" establece que

Los nombres pueden contener el carácter comodín *que se considera que coincide con cualquier componente de nombre de dominio o fragmento de componente. Por ejemplo, *.a.comcoincide foo.a.compero no bar.foo.a.com.

Entonces sí, es el hecho de que son dos niveles de subdominios el problema.

Jenny D dice Reinstate Monica
fuente
18
¿Alguien más encuentra divertido que RFC2818 ignore RFC2606 al elegir un nombre de dominio de ejemplo?
MadHatter apoya a Monica el
También es interesante que si bien RFC2818 es informativo , el estándar RFC7230 propuesto se refiere a él como una definición.
Esa Jokinen