99 votos

Si un certificado wildcard SSL segura tanto en el dominio root, así como los sub-dominios?

Hago esta pregunta, porque Comodo me están diciendo que un certificado comodín *.example.com también asegurará el dominio root example.com. Así que con un solo certificado, tanto my.example.com y example.com son seguros, sin advertencia de un navegador.

Sin embargo, este no es el caso con el certificado que me ha proporcionado. Mi sub-dominios están asegurados fino y no dar un error, pero el dominio root produce un error en el navegador, diciendo que la identidad no puede ser verificado.

Al comparar este certificado a otras situaciones similares, veo que en los escenarios que trabajar sin error, el Nombre Alternativo del Sujeto (SAN) de las listas de ambos *.example.com y example.com, mientras que el certificado reciente de Comodo sólo listas *.example.com como el Nombre Común y NO example.com como el Nombre Alternativo del Sujeto.

¿Alguien puede confirmar/aclarar que el dominio root debe ser listados en SAN detalles de si es también para estar asegurados correctamente?

Cuando he leído esto: http://www.digicert.com/subject-alternative-name.htm parece que la SAN debe de lista, tanto para el trabajo como yo necesito. ¿Cuál es tu experiencia?

Muchas gracias.

88voto

freiheit Puntos 9670

Hay una cierta incoherencia entre las implementaciones de SSL en cómo concuerdan los comodines, sin embargo, usted necesitará la root como un nombre alternativo para que funcione con la mayoría de los clientes.

Para un *.example.com cert,

  • a.example.com debe pasar
  • www.example.com debe pasar
  • example.com no debería pasar
  • a.b.example.com puede pasar, dependiendo de la aplicación

Esencialmente, las normas dicen que el * debe coincidir con 1 o más sin punto de personajes, pero algunas implementaciones permiten a un punto.

Canónico, la respuesta debe ser en el RFC 2818 (HTTP Sobre TLS):

La coincidencia se realiza mediante la coincidencia de las reglas especificadas por [RFC2459]. Si más de una identidad de un determinado tipo está presente en el certificado (por ejemplo, más de un dNSName nombre, un partido en cualquier del conjunto que se considera aceptable.) Los nombres pueden contener el carácter comodín carácter * que se considera para que coincida con cualquier nombre de dominio único componente o componente fragmento. E. g., .a.com los partidos foo.a.com pero no bar.foo.a.com. f.com partidos foo.com pero no bar.com.

RFC 2459 dice:

  • Un "*" carácter comodín PUEDE ser utilizado como más a la izquierda del nombre componente en el certificado. Por ejemplo, *.example.com sería partido a.example.com, foo.example.com, etc. pero podría no coincidir con example.com.

Si usted necesita un cert para trabajar para example.com, www.example.com y foo.example.com, se necesita un certificado con subjectAltNames por lo que tiene "example.com" y "*.example.com" (o example.com y todos los demás nombres que usted puede ser que necesite para que coincida).

17voto

Shane Madden Puntos 81409

Usted está en lo correcto, la root del dominio debe ser un nombre alternativo para validar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: