दूसरे स्तर के उपडोमेन के लिए वाइल्डकार्ड एसएसएल प्रमाणपत्र

93

मैं जानना चाहूंगा कि क्या कोई प्रमाण पत्र डबल वाइल्डकार्ड की तरह समर्थन करता है *.*.example.com? मैं सिर्फ अपने वर्तमान एसएसएल प्रदाता (register.com) के साथ फोन पर रहा हूं और लड़की ने कहा कि वे ऐसा कुछ भी नहीं पेश करते हैं और उसे नहीं लगता कि यह वैसे भी संभव था।

क्या कोई मुझे बता सकता है कि क्या यह संभव है, और यदि ब्राउज़र इसका समर्थन करते हैं?

— अलेक्जेंडर ब्लोम्स्कोल्ड
स्रोत

10

भविष्य के आगंतुकों के लिए FYI करें, कोई भी ब्राउज़र *.*.example.com2015 के रूप में दोहरे वाइल्डकार्ड प्रमाणपत्र ala का समर्थन नहीं करता है । कोई विचार नहीं है कि क्यों।

— महन

@Mahn तो फिर तुम लिखने के लिए है *.a.a.com, *.b.a.com, *.c.a.com, ... मैन्युअल?

— विलियम

1

@ LiamWilliam जाहिर है, मुझे अब तक ब्राउज़र पसंद करने वाले अन्य संयोजन नहीं मिले हैं। यह एक पीड़ा है।

— महन

1

@William हां, लेकिन दूसरी ओर, .अपने डोमेन नाम की चीजों को अलग करने के लिए उपयोग न करें जो एक साथ हैं - डोमेन डोमेन चिंता है। तुम क्यों की आवश्यकता होगी phpmyadmin.serverX.domain.com, जब phpmyadmin-serverX.domain.comशब्दार्थ और अधिक सटीक और DNS और TLS मामले में संभाल करने के लिए आसान है।

— डैनियल डब्ल्यू।

52

RFC2818 बताता है:

यदि किसी दिए गए प्रकार की एक से अधिक पहचान प्रमाणपत्र में मौजूद है (जैसे, एक से अधिक dNSName नाम, सेट में से किसी एक में एक मैच स्वीकार्य माना जाता है।) नाम में वाइल्डकार्ड वर्ण शामिल हो सकता है * जिसे किसी एक से मेल खाना माना जाता है। डोमेन नाम घटक या घटक टुकड़ा। जैसे, * .Com का मेल foo.a.com से होता है लेकिन bar.foo.a.com से नहीं। f * .com का मेल foo.com से है, लेकिन bar.com से नहीं।

इंटरनेट एक्सप्लोरर आरएफसी द्वारा उल्लिखित तरीके से व्यवहार करता है, जहां प्रत्येक स्तर को अपने स्वयं के वाइल्डकार्ड प्रमाणपत्र की आवश्यकता होती है। फ़ायरफ़ॉक्स एक एकल * .domain.com से खुश है जहाँ * * domain.com के सामने कुछ भी मेल खाता है, अन्य other.levels.domain.com सहित, लेकिन यह भी * *। * को हैंडल करेगा। domain.com प्रकार भी।

इसलिए, आपके प्रश्न का उत्तर देने के लिए: यह संभव है, और ब्राउज़रों द्वारा समर्थित है।

— एलेक्स
स्रोत

5

धन्यवाद! आज सुबह FF 3.5.7 पर परीक्षण से पता चला कि यह अब IE की तरह ही RFC के अनुरूप है। इसने foo.bar.example.com के लिए मेरे .example.com प्रमाणपत्र को अस्वीकार कर दिया । तो बस मैं स्पष्ट करने के लिए सभी की जरूरत है एक और वाइल्डकार्ड प्रमाणित है जो * है। .example.com सामान्य नाम के रूप में?

7

मैंने अभी FF 3.5 और IE 8 में परीक्षण किया है और न ही इसके लिए कोई प्रमाणपत्र स्वीकार करेगा । .example.com। मुझे लगता है कि एकमात्र समाधान कई वाइल्डकार्ड प्रमाणपत्रों का उपयोग करना है।

— रॉबर्ट

9

यह मानक किसने लिखा है? यह बेकार है। पैसे की बर्बादी भी अगर तुम मुझसे पूछो। यह क्या रक्षा करता है?

— ब्रेंट पाब्स्ट

6

यदि डबल-वाइल्डकार्ड समस्याओं का कारण बनते हैं, तो वाइल्डकार्ड के आसपास विशिष्ट उप डोमेन काम करते हैं? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com

— rcoup

2

@tudor FWIW, मैंने अभी-अभी परीक्षण किया है, और फ़ायरफ़ॉक्स मुझे दिखाता है कि प्रमाणपत्र के साथ मान्य होने के बावजूद प्रमाणपत्र के साथ पहुँचते समय आपका कनेक्शन सुरक्षित पृष्ठ नहीं है । इसलिए, जैसा कि सबसे अच्छा मैं बता सकता हूं, यह उत्तर वास्तव में गलत है, कम से कम आज। यह देखते हुए कि कोई टिप्पणी यह कहते हुए पोस्ट की गई थी कि वे उस दिन व्यवहार को पुन: पेश नहीं कर सकते थे जिसका उत्तर पोस्ट किया गया था , मुझे संदेह है कि क्या यह कभी सही था। sub1.sub2.mydomain.com*.mydomain.comsub2.mydomain.com

— मार्क अमेरी

20

बस एफएफ और आईई 8 की पुष्टि करने के लिए फार्म में प्रमाण पत्र स्वीकार नहीं करेंगे, *.*.example.comहालांकि तकनीकी रूप से उन्हें बनाना संभव है।

2

तो फिर तुम लिखने के लिए क्या है *.a.a.com, *.b.a.com, *.c.a.comमैन्युअल?

— विलियम

2

@William मुझे ऐसा लगता है। यह वाकई दुर्भाग्यपूर्ण है।

— फ्रैंकलिन यू

17

जब वाइल्डकार्ड SSL प्रमाणपत्र * .domain.com के लिए जारी किया जाता है, तो आप मुख्य डोमेन पर अपने असीमित संख्या में उप डोमेन सुरक्षित कर सकते हैं।

उदाहरण के लिए:

sub1.domain.com
sub2.domain.com
sub3.domain.com
उप * .domain.com

यदि वाइल्डकार्ड एसएसएल प्रमाणपत्र * .sub1.domain.com पर जारी किया जाता है, तो उस स्थिति में आप सभी दूसरे स्तर के उप-डोमेन सुरक्षित कर सकते हैं, जो कि उप1.domain.com के अंतर्गत सूचीबद्ध हैं।

उदाहरण के लिए:

aaa.sub1.domain.com
bbb.sub1.domain.com
ccc.sub1.domain.com
***। Sub1.domain.com

यदि आप सीमित संख्या में उप डोमेन और दूसरे स्तर के डोमेन को सुरक्षित करना चाहते हैं, तो आप बहु डोमेन एसएसएल का चयन कर सकते हैं जो एकल प्रमाण पत्र के साथ 100 डोमेन नाम तक सुरक्षित कर सकते हैं।

उदाहरण के लिए:

domain.com
sub1.domain.com
aaa.sub2.domain.com
domain2.net
domain3.org

SSL प्रमाणपत्र चुनने के लिए आपको अपनी वास्तविक आवश्यकताओं को जानना चाहिए।

— जेसन परम
स्रोत

1

यह एक अच्छी समझ है लेकिन इस सवाल का जवाब नहीं है। आप सभी संयोजनों नहीं बल्कि एक ओ पी के लिए कहा (उल्लेख किया । .Domain.com)।

— डैनियल डब्ल्यू।

8

यह वर्तमान ब्राउज़र संस्करणों के साथ परीक्षणों के एक नए दौर के लायक हो सकता है।

मेरा व्यक्तिगत त्वरित चेक परिणाम: फ़ायरफ़ॉक्स 20.0.1 अभी भी इसका समर्थन नहीं करता है। यह दिखाता है:

यह प्रमाणपत्र केवल *। *। Mydomain.com के लिए मान्य है

... https://svn.project.mydomain.com पर सर्फिंग करते समय ।

इंटरनेट एक्सप्लोरर 9.0:

इस वेबसाइट का प्रमाण पत्र दूसरे पते के लिए बनाया गया था

टिप्पणियाँ:

मेरे द्वारा जर्मन से अंग्रेजी में अनुवादित दोनों कथन। संभवतः मैंने उन्हीं वाक्यांशों का उपयोग नहीं किया था जो अंग्रेजी ब्राउज़र संस्करण दिखाते थे।
मैंने स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग किया। जिसके कारण ब्राउज़रों को चेतावनी का एक अतिरिक्त वाक्य दिखाया गया। मुझे लगता है कि ऊपर दिए गए उद्धरण एक विश्वसनीय प्रमाणपत्र जारीकर्ता के साथ भी दिखाए जाएंगे। यह सत्यापित करना मेरे "त्वरित जांच" के दायरे से बाहर था।

— klaus कांटा
स्रोत

7

मैं अभी इस पर कुछ शोध कर रहा था क्योंकि मुझे उप-उप डोमेन को सुरक्षित करने के लिए समान आवश्यकताएं हैं और DigiCert के समाधान में आया था ।

यह प्रमाण पत्र यह समर्थन करेंगे कहते हैं yourdomain.com, *.yourdomain.com, *.*.yourdomain.comऔर इतने पर।

यह वर्तमान में बल्कि बहुत ही स्वादिष्ट है, लेकिन आशा है कि अन्य प्रदाता समान प्रमाण पत्र की पेशकश शुरू करेंगे और कीमतें कम करेंगे।

— F21
स्रोत

यह सही तरीका है। एक वाइल्डकार्ड

— सर्टिफिकेट

हमारे पास यह प्रमाण पत्र डिजीकटर से है। यह इसका समर्थन करता है, लेकिन डिफ़ॉल्ट रूप से नहीं। आपको डुप्लिकेट सर्टिफिकेट बनाना होगा और सर्टिफिकेट में सभी उप डोमेन को निर्दिष्ट करना होगा। यह स्वचालित नहीं है।

— L_7337

7

2011 से आरएफसी 6125 पर विचार नहीं करने पर यहां सभी उत्तर पुराने या पूर्णत: सही नहीं हैं।

आरएफसी 6125 के अनुसार , सबसे बाईं ओर के टुकड़े में केवल एक वाइल्डकार्ड की अनुमति है।

मान्य:

*.sub.domain.tld
*.domain.tld

अमान्य:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

एक टुकड़ा, या जिसे "लेबल" भी कहा जाता है, एक बंद घटक है, जैसे: *.com(2 लेबल) मेल नहीं खाता label.label.com(3 लेबल) - यह पहले से ही आरएफसी 2818 में परिभाषित किया गया है।

RFC 2818 में 2011 से पहले सेटिंग पूरी तरह से स्पष्ट नहीं थी:

मौजूदा एप्लिकेशन तकनीकों के लिए विनिर्देश वाइल्डकार्ड वर्ण के स्वीकार्य स्थान के बारे में स्पष्ट या सुसंगत नहीं हैं।

यह 2011 से RFC 6125 के साथ बदल गया है (6.4.3):

क्लाइंट SHOULD एक प्रस्तुत पहचानकर्ता से मेल खाने का प्रयास नहीं करता है जिसमें वाइल्डकार्ड वर्ण में लेफ्ट-मोस्ट लेबल (उदाहरण के लिए, बार से मेल नहीं खाता) के अलावा एक लेबल शामिल होता है। * example.net)।

— डैनियल डब्ल्यू।
स्रोत

2

हालाँकि मैं आपके सवाल पर गौर नहीं कर रहा हूँ, मैं अभी इसके बारे में कुछ मिनट पहले पढ़ने के लिए हुआ था:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

यह समझाते हैं कि आप डबल तारांकन का उपयोग नहीं कर सकते

संपादित करें

वेबसाइट के नीचे जाने या पढ़ने में बहुत लंबा होने पर बोली का हिस्सा जोड़ें

क्या संभव नहीं है, एक ही वाइल्डकार्ड के साथ mail.xyz.com और photos.xyz.com के दोनों उप डोमेन को कवर करने का प्रयास करना है। सीए या प्रमाणपत्र प्राधिकरण केवल एक एकल (*) के साथ एक एसएसएल प्रमाणपत्र प्रदान कर सकता है। आप एक प्रमाणपत्र हस्ताक्षर अनुरोध उत्पन्न नहीं कर सकते थे जो जैसा दिखता था । .xyz.com एक से अधिक स्तर के उप-डोमेन समूह को कवर करने का प्रयास करता है।

कारण क्यों

"डबल वाइल्डकार्ड" एसएसएल प्रमाणपत्र होने के कारण संभव नहीं है कि प्लेसहोल्डर, तारांकन चिह्न केवल सीए को सौंपे गए नाम में एक क्षेत्र के लिए खड़ा हो सकता है। आखिरकार, सीए को सभी जानकारी को सत्यापित करना होगा, और प्रमाण पत्र में बहुत सारे चर सुरक्षा को कम कर देंगे और प्रमाण पत्र प्रदान करते हैं।

इसके अतिरिक्त, और यह आईटी प्रबंधकों और वेबसाइट के मालिकों के लिए भी महत्वपूर्ण है, आंतरिक सुरक्षा से आसानी से समझौता नहीं किया जा सकता है। ध्यान रखें कि एसएसएल प्रमाण पत्र के एक बार होने पर किसी भी प्रकार की सुरक्षा समस्या आंतरिक सुरक्षा भंग होने की संभावना अधिक होती है, जहां निजी कुंजी और प्रमाणपत्र तक पहुंच रखने वाला कोई व्यक्ति उप-डोमेन वेबसाइट स्थापित करने में सक्षम होता है, जो वास्तव में कवर होता है एसएसएल।

— deadManN
स्रोत

1

मुझे ध्यान देना चाहिए कि उत्तर देने के दिशा-निर्देशों के लिए आपको अपने उत्तर निकाय में एक लेख के आवश्यक भागों को उद्धृत करना होगा। क्योंकि यह लिंक समय के साथ बदल सकता है या आर्टिकल डिलीट हो सकता है। अन्यथा इसे उत्तर नहीं माना जा सकता है।

— sr9yar

0

आप क्या कर सकते हैं कुछ ऐसा है * .domain.com और फिर * .www.domain.com या * .mail.domain.com। मैंने उत्पादन साइट पर *। *। * Domain.com कभी नहीं देखा है।

आप एक वाइल्डकार्ड (* .domain.com) प्राप्त कर सकते हैं, लेकिन आपको इसे काम करने के लिए वैकल्पिक विषय नाम प्रविष्टि के रूप में * .www.domain.com की भी आवश्यकता होगी। केवल कंपनियां जो मुझे पता है कि यह ssl.com और digicert हैं। कुछ और भी हो सकते हैं लेकिन मुझे यकीन नहीं है।

— कोल्ट ब्लेक
स्रोत

Letencrypt के साथ आप वाइल्डकार्ड सेरट्स भी जारी कर सकते हैं। और वे कई SAN के लिए अनुमति देते हैं। तो आप सैन का एक सेट परिभाषित कर सकते हैं। जैसे -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com।

— खंडित