*.*.example.com这样的双通配符?我刚刚和我当前的SSL提供商(register.com)通话,那里的那个女孩说他们不提供那样的东西,而且她认为这是不可能的。 谁能告诉我这是否可行,以及浏览器是否支持?
#1 楼
RFC2818声明:如果给定证书中存在多个给定类型的身份
(例如,多个dNSName名称,则任何名称之一可以
包含通配符*,该通配符*被认为与任何单个
域名组件或组件
片段匹配。例如,*。a.com匹配
foo.a.com,但不匹配bar.foo.a.com。
f * .com匹配foo.com,但不匹配
bar.com。
Internet Explorer表现为RFC概述的方式,其中每个级别都需要自己的通配证书。 Firefox对单个* .domain.com感到满意,其中*匹配domain.com前面的任何内容,包括other.levels.domain.com,但也可以处理*。*。domain.com类型。 >因此,回答您的问题:这是可能的,并且受浏览器支持。
评论
谢谢!今早在FF 3.5.7上进行的测试表明,它现在与IE相同,都符合RFC。它拒绝了我的.example.com证书中的foo.bar.example.com。因此,为了澄清一下,我需要的是另一个具有* .. example.com作为通用名称的通配符证书?
–Rob Long
2010年1月19日在17:04
我刚刚在FF 3.5和IE 8中进行了测试,但都不接受..example.com的证书。我认为唯一的解决方案是使用多个通配符证书。
–罗伯特
2010年1月21日,1:16
谁写了这个标准?这是毫无价值的。如果问我也浪费钱。它保护什么?
–布伦特·帕布斯特(Brent Pabst)
2012年4月2日在23:15
如果双通配符引起问题,通配符周围的特定子域是否起作用? ala SubjectAltName:DNS:foo。*。example.com,DNS:bar。*。example.com
–rcoup
2012年5月1日21:19
我刚刚测试了@tudor FWIW,Firefox向我显示了一个**。mydomain.com证书访问sub1.sub2.mydomain.com时,您的连接不安全页面,尽管该证书对sub2.mydomain.com有效。因此,据我所知,至少在今天,这个答案确实是错误的。考虑到还有人发表的评论说他们在发布答案的那一天无法重现此行为,我对此是否正确表示怀疑。
–马克·阿默里(Mark Amery)
18年5月16日在10:33
#2 楼
这里的所有答案都已经过时或不完全正确,没有考虑2011年的RFC 6125。 />有效:*.sub.domain.tld
*.domain.tld
无效:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
片段,也称为“标签”,是封闭的组件,例如:
*.com(2个标签)与label.label.com(3个标签)不匹配-这已在RFC 2818中定义。 现有应用技术的规范不明确
或关于通配符的允许位置
一致。
自2011年(6.4.3)起的RFC 6125对此进行了更改:比最左边的标签(例如,不匹配bar。*。example.n等)。
#3 楼
为* .domain.com颁发通配符SSL证书时,您可以在主域中保护不限数量的子域。例如:
sub1.domain.com
sub2.domain.com
sub3.domain.com
sub * .domain.com
如果通配符SSL证书发布于* .sub1.domain.com,在这种情况下,您可以保护sub1.domain.com下列出的所有第二级子域。
例如:
aaa.sub1.domain.com
bbb.sub1.domain.com
ccc.sub1.domain.com
***。sub1.domain.com
如果要保护有限数量的子域和第二级域,则可以选择可以使用单个证书保护多达100个域名的多域SSL。
例如:
domain.com
sub1.domain.com
aaa.sub2.domain.com
domain2.net
domain3.org
您应该了解选择SSL证书的实际要求。
评论
这是一个很好的理解,但不能回答问题。您提到了所有组合,但没有提到OP要求的组合(.domain.com)。
–丹尼尔·W。
18年8月8日在8:58
#4 楼
只是确认FF和IE 8将不接受格式为*.*.example.com的证书,尽管在技术上可以创建它们。评论
然后,您是否必须手动编写* .a.a.com,*。b.a.com,*。c.a.com?
–威廉
2015年9月2日,16:02
@威廉我是这样认为的。这真的很不幸。
–于富兰
18年8月17日在19:01
#5 楼
对于当前的浏览器版本,这可能值得进行新的测试。我的个人快速检查结果表明:Firefox 20.0.1似乎仍然不支持此功能。它显示:
该证书仅对*。*。mydomain.com
...在浏览https://时有效。 svn.project.mydomain.com。
Internet Explorer 9.0:
该网站的证书是用于其他地址的
注意事项:
这两种说法都是由我翻译成德语的。可能我没有使用与英语浏览器版本相同的短语。
我使用了自签名证书。这导致浏览器显示警告的另一句话。我假设上面的引号也会与受信任的证书颁发者一起显示。验证这超出了我的“快速检查”的范围。
#6 楼
我只是对此进行了一些研究,因为我对保护子子网域也有相同的要求,并且遇到了DigiCert的解决方案。 。目前还比较昂贵,但希望其他提供商可以开始提供类似的证书并降低价格。
评论
这是正确的方法。支持多个(通配符)名称的通配符证书
–drAlberT
15年5月28日在10:23
我们有来自digicert的证书。它支持它,但默认情况下不支持。您必须创建一个重复的证书,并在证书中指定所有子域。它不是自动的。
– L_7337
16年6月3日在19:50
#7 楼
尽管我没有考虑您的问题,但我只是在几分钟前就读了一些有关它的内容:-ssl-certificate-for-two-levels.php
这说明您不能使用双星号
编辑
添加如果网站出现故障或阅读时间太长,引号的一部分
不可能同时覆盖两个邮件子域。和带单个通配符的photos.xyz.com。 CA或
证书颁发机构只能提供带
单(*)的SSL证书。您无法生成一个看起来像..xyz.com的证书签名请求,以尝试覆盖一个以上级别的子域组。
原因
之所以无法获得“双通配符” SSL
证书,是因为占位符星号只能代表提交给CA的名称中的一个字段。 。毕竟,CA必须
验证所有信息,并且证书中的变量过多
会降低证书提供的安全性和可信度。
另外,这很重要对于IT经理和网站所有者,
,内部安全也不能轻易受到损害。请记住,一旦放置了SSL证书,任何类型的安全问题就很可能是由于内部安全漏洞而发生的。能够
设置一个SSL实际覆盖的子域网站。
评论
我必须注意,回答准则要求您在回答正文中引用文章的重要部分。因为此链接可能会随着时间而改变,或者文章可能会被删除。否则,它可能不会被视为答案。
–sr9yar
19-10-14在20:15
#8 楼
您可以做的是* .domain.com,然后是* .www.domain.com或* .mail.domain.com。我从未在生产站点上看到*。*。domain.com。您可以获取通配符(* .domain.com),但还需要使用* .www.domain.com作为替代主题名称条目才能使它起作用。我知道的唯一提供此服务的公司是ssl.com和digicert。可能还有其他人,但我不确定。
评论
使用letsencrypt,您还可以颁发通配符证书。并且它们允许多个SAN。因此,您可以定义一组SAN。例如。 -d * .domain.com -d * .sub1.domain.com -d * .sub2.domain.com。
–碎片现实
19年6月27日在5:31
评论
仅供参考,以供将来的访问者使用,截至2015年,没有浏览器支持双通配符证书ala *。*。example.com。不知道为什么。@Mahn然后,您是否必须手动编写* .a.a.com,*。b.a.com,*。c.a.com?
@LiamWilliam显然,到目前为止,我还没有找到浏览器喜欢的其他组合。真痛苦。
@William是的,但是另一方面,请不要使用。分隔域名中属于同一部分的内容-域是域问题。当phpmyadmin-serverX.domain.com在语义上更准确并且更容易以DNS和TLS术语处理时,为什么还要phpmyadmin.serverX.domain.com。