web-dev-qa-db-fra.com

Certificat SSL générique pour le sous-domaine de deuxième niveau

Je voudrais savoir si des certificats prennent en charge un double caractère générique comme *.*.example.com? Je viens de téléphoner avec mon fournisseur SSL actuel (register.com) et la fille là-bas a dit qu'ils n'offraient rien de tel et qu'elle ne pensait pas que c'était possible de toute façon.

Quelqu'un peut-il me dire si cela est possible et si les navigateurs le prennent en charge?

103
Rob Long

RFC2818 indique:

Si plus d'une identité d'un type donné est présente dans le certificat (par exemple, plus d'un nom dNSName, une correspondance dans l'un quelconque de l'ensemble est considérée comme acceptable.) Les noms peuvent contenir le caractère générique * qui est considéré comme correspondant à n'importe quel seul composant de nom de domaine ou fragment de composant. Par exemple, * .a.com correspond à foo.a.com mais pas à bar.foo.a.com. f * .com correspond à foo.com mais pas à bar.com.

Internet Explorer se comporte de la manière décrite par la RFC, où chaque niveau a besoin de son propre certificat générique. Firefox est satisfait d'un seul * .domain.com où * correspond à tout ce qui se trouve devant domain.com, y compris les autres.levels.domain.com, mais gérera également les types *. *. Domain.com.

Donc, pour répondre à votre question: c'est possible, et pris en charge par les navigateurs.

56
Alex

Juste pour confirmer FF et IE 8 n'acceptera PAS les certificats sous la forme *.*.example.com bien qu'il soit techniquement possible de les créer.

20
Rob

Lorsque le certificat SSL Wildcard est émis pour * .domain.com, vous pouvez sécuriser votre nombre illimité de sous-domaines sur le domaine principal.

Par exemple:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

Si le certificat SSL Wildcard est émis sur * .sub1.domain.com, dans ce cas, vous pouvez sécuriser tous les sous-domaines de deuxième niveau répertoriés sous sub1.domain.com

Par exemple:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

Si vous souhaitez sécuriser un nombre limité de sous-domaines et de domaines de deuxième niveau, vous pouvez choisir un SSL multi-domaines qui peut sécuriser jusqu'à 100 noms de domaine avec un seul certificat.

Par exemple:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Vous devez connaître vos exigences réelles pour choisir un certificat SSL.

19
Jason Parms

Toutes les réponses ici sont obsolètes ou pas entièrement correctes, ne tenant pas compte de la RFC 6125 de 2011.

Selon le RFC 6125 , un seul caractère générique est autorisé dans le fragment le plus à gauche.

Valide:

*.sub.domain.tld
*.domain.tld

Invalide:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Un fragment, ou aussi appelé "label", est un composant fermé, par exemple: *.com (2 étiquettes) ne correspond pas à label.label.com (3 étiquettes) - cela a déjà été défini dans la RFC 2818.

Avant 2011 dans la RFC 2818, le paramètre n'était pas entièrement clair:

Les spécifications des technologies d'application existantes ne sont pas claires ou cohérentes quant à l'emplacement autorisé du caractère générique.

Cela a changé avec la RFC 6125 de 2011 (6.4.3):

Le client NE DEVRAIT PAS tenter de faire correspondre un identifiant présenté dans lequel le caractère générique comprend une étiquette autre que l'étiquette la plus à gauche (par exemple, ne correspond pas à la barre. *. Example.net).

14
Daniel W.

Cela pourrait valoir une nouvelle série de tests avec les versions actuelles du navigateur.

Ma vérification rapide personnelle aboutit à: Firefox 20.0.1 ne semble toujours pas le supporter. Ça montre:

Ce certificat n'est valable que pour *. *. Mydomain.com

... lorsque vous surfez sur https://svn.project.mydomain.com .

Internet Explorer 9.0:

Le certificat de ce site a été fait pour une autre adresse

Remarques:

  • Les deux déclarations ont été traduites de l'allemand vers l'anglais, par moi. Je n'ai probablement pas utilisé les mêmes phrases que les versions anglaises du navigateur.
  • J'ai utilisé un certificat auto-signé. Ce qui a amené les navigateurs à afficher une phrase d'avertissement supplémentaire. Je suppose que les citations ci-dessus seront également affichées avec un émetteur de certificat de confiance. La vérification était hors de la portée de ma "vérification rapide".
8
klaus thorn

Je faisais juste des recherches à ce sujet car j'ai également les mêmes exigences pour sécuriser les sous-domaines et je suis tombé sur une solution de DigiCert.

Ce certificat indique qu'il prendra en charge yourdomain.com, *.yourdomain.com, *.*.yourdomain.com etc.

Il est actuellement assez cher, mais l'espoir est que d'autres fournisseurs commenceraient à offrir des certificats similaires et à réduire les prix.

7
F21

bien que je ne regarde pas votre question, je viens de lire quelque chose à ce sujet il y a quelques minutes:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

cela explique que vous ne pouvez pas utiliser le double astérisque


Éditer

Ajoutez une partie du devis au cas où le site Web tombe en panne ou est trop long à lire

Ce qui n'est pas possible, c'est d'essayer de couvrir les sous-domaines de mail.xyz.com et de photos.xyz.com avec un seul Wildcard. L'autorité de certification ou l'autorité de certification ne peut fournir un certificat SSL qu'avec un seul (*). Vous ne pouvez pas générer une demande de signature de certificat qui ressemble à . . Xyz.com pour essayer de couvrir plusieurs groupes de sous-domaines de deuxième niveau.

La raison pour laquelle

Les raisons pour lesquelles il n'est pas possible d'avoir un certificat SSL "double caractère générique" sont que l'espace réservé, l'astérisque, ne peut remplacer qu'un seul champ du nom soumis à l'autorité de certification. Après tout, l'autorité de certification doit vérifier toutes les informations, et trop de variables dans le certificat diminueraient la sécurité et la confiance que le certificat fournit.

De plus, et cela est également important pour les responsables informatiques et les propriétaires de sites Web, la sécurité interne ne peut pas être compromise aussi facilement. Gardez à l'esprit que tout type de problème de sécurité une fois qu'un certificat SSL est en place est beaucoup plus susceptible de se produire à partir d'une faille de sécurité interne où une personne ayant accès à la clé privée et au certificat est en mesure de configurer un site Web de sous-domaine qui est réellement couvert par le SSL.

2
deadManN

Ce que vous pouvez faire est quelque chose comme * .domain.com puis * .www.domain.com ou * .mail.domain.com. Je n'ai jamais vu *. *. Domain.com sur un site de production.

Vous pouvez obtenir un caractère générique (* .domain.com) mais vous aurez également besoin de * .www.domain.com comme entrée de nom de sujet alternatif pour que cela fonctionne. Les seules sociétés que je connais offrent ceci sont ssl.com et digicert. Il y en a peut-être d'autres mais je n'en suis pas sûr.

0
Colt Blake