क्या वाइल्डकार्ड एसएसएल प्रमाणपत्र से रूट डोमेन और उप-डोमेन दोनों सुरक्षित हो सकते हैं?


81

मैं यह सवाल पूछता हूं, क्योंकि कोमोडो मुझे बता रहे हैं कि * .example.com के लिए एक वाइल्डकार्ड प्रमाणपत्र रूट डोमेन example.com को भी सुरक्षित करेगा। तो एक ही प्रमाण पत्र के साथ, my.example.com और example.com ब्राउज़र से चेतावनी के बिना सुरक्षित हैं।

हालाँकि, मुझे प्रदान किए गए प्रमाण पत्र के साथ ऐसा नहीं है। मेरे उप-डोमेन ठीक हैं और एक त्रुटि नहीं देते हैं, लेकिन रूट डोमेन ब्राउज़र में एक त्रुटि फेंकता है, यह कहते हुए कि पहचान सत्यापित नहीं की जा सकती है।

जब मैं इस प्रमाणपत्र को अन्य समान परिदृश्यों से तुलना करता हूं, तो मैं देखता हूं कि त्रुटि के बिना काम करने वाले परिदृश्यों में, विषय वैकल्पिक नाम (SAN दोनों * .example.com और example.com सूचियों को सूचीबद्ध करता है, जबकि कोमोडो के हालिया प्रमाणपत्र में केवल सूचियाँ * हैं। example.com कॉमन नेम के रूप में और example.com सब्जेक्ट वैकल्पिक नाम के रूप में नहीं।

क्या कोई इस बात की पुष्टि / स्पष्टीकरण कर सकता है कि रूट डोमेन को SAN विवरण में सूचीबद्ध किया जाना चाहिए, अगर इसे सही तरीके से सुरक्षित किया जाना है?

जब मैं इसे पढ़ता हूं: http://www.digicert.com/subject-alternative-name.htm ऐसा लगता है कि SAN को काम करने के लिए दोनों को सूचीबद्ध करना चाहिए क्योंकि मुझे इसकी आवश्यकता है। आपका अनुभव क्या है?

बहुत बहुत धन्यवाद।

जवाबों:


72

SSL कार्यान्वयन के बीच कुछ असंगतता है कि वे वाइल्डकार्ड से कैसे मेल खाते हैं, हालांकि आपको अधिकांश ग्राहकों के साथ काम करने के लिए वैकल्पिक नाम के रूप में रूट की आवश्यकता होगी।

एक *.example.comप्रमाण पत्र के लिए,

  • a.example.com पास होना चाहिए
  • www.example.com पास होना चाहिए
  • example.com पास नहीं होना चाहिए
  • a.b.example.com कार्यान्वयन के आधार पर पारित हो सकता है (लेकिन शायद नहीं)।

अनिवार्य रूप से, मानकों का कहना है कि *1 या अधिक गैर-डॉट वर्णों से मेल खाना चाहिए, लेकिन कुछ कार्यान्वयन डॉट को अनुमति देते हैं।

विहित उत्तर RFC 2818 (HTTP ओवर टीएलएस) में होना चाहिए :

[RFC2459] द्वारा निर्दिष्ट मिलान नियमों का उपयोग करके मिलान किया जाता है। यदि किसी दिए गए प्रकार की एक से अधिक पहचान प्रमाणपत्र में मौजूद है (जैसे, एक से अधिक dNSName नाम, सेट में से किसी एक में एक मैच स्वीकार्य माना जाता है।) नाम में वाइल्डकार्ड वर्ण शामिल हो सकता है * जिसे किसी एक से मेल खाना माना जाता है। डोमेन नाम घटक या घटक टुकड़ा। जैसे, *.a.comfoo.a.com से मेल खाता है लेकिन bar.foo.a.com से नहीं। f*.comfoo.com से मेल खाता है लेकिन bar.com से नहीं।

RFC 2459 कहता है:

  • प्रमाणपत्र में एक "*" वाइल्डकार्ड वर्ण MAY को सबसे बाएं नाम के घटक के रूप में उपयोग किया जाता है। उदाहरण के लिए, *.example.coma.example.com, foo.example.com, आदि से मेल खाएगा, लेकिन example.com से मेल नहीं खाएगा।

यदि आपको example.com, www.example.com और foo.example.com के लिए काम करने के लिए एक प्रमाण पत्र की आवश्यकता है, तो आपको subjectAltNames के साथ एक प्रमाण पत्र की आवश्यकता है ताकि आपके पास "example.com" और "* .example.com" (या उदाहरण हो। .com और अन्य सभी नाम जिन्हें आपको मिलान करने की आवश्यकता हो सकती है)।


13

आप सही हैं, इसे मान्य करने के लिए रूट डोमेन का एक वैकल्पिक नाम होना चाहिए।


6

मेरे द्वारा उपयोग किए गए प्रत्येक एसएसएल प्रदाता ने स्वचालित रूप से रूट डोमेन को एक वाइल्डकार्ड एसएसएल प्रमाणपत्र के अधीन वैकल्पिक नाम के रूप में जोड़ दिया है, इसलिए DOMAIN.COM एक .DOMAIN.COM वाइल्डकार्ड प्रमाणपत्र के लिए स्वचालित रूप से काम करेगा।


8
यह AWS सर्टिफिकेट मैनेजर के लिए 2017-09-20 तक सही नहीं है।
pho3nixf1re

सैन प्रमाणपत्र के लिए कोई "" रूट डोमेन नहीं है जो कई रूट डोमेन को सुरक्षित कर सकता है।
Jez

-3

वाइल्डकार्ड प्रमाणपत्र आदर्श रूप से * .example.com के लिए उत्पन्न होते हैं। इस प्रमाणपत्र के साथ अपने उप-डोमेन और डोमेन को सुरक्षित करने के लिए, आपको इन डोमेन की ओर इशारा करते हुए सर्वर पर एक ही प्रमाणपत्र स्थापित करना होगा।

पूर्व के लिए - आपके पास * .example.com one.example.com - सर्वर 1 example.com - सर्वर 2 के लिए वाइल्डकार्ड प्रमाणपत्र है

आपको सर्वर 1 और सर्वर 2 पर इस प्रमाणपत्र को स्थापित करने की आवश्यकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.