वाइल्डकार्ड SSL सामान्य नाम - क्या इसे कुछ भी कहा जा सकता है?

34

मैं बस सोच रहा था कि क्या वाइल्डकार्ड एसएसएल सर्टिफिकेट के लिए जरूरी एक सामान्य नाम होना चाहिए जिसमें उन साइटों का डोमेन नाम शामिल हो, जिनके लिए एसएसएल सर्टिफिकेट की जरूरत है।

उदाहरण के लिए, निम्नलिखित के लिए:

डोमेन नाम: testdomain.com

सबसाइट:

www.testdomain.com
mobile.testdomain.com
mytestenvironment.testdomain.com

क्या मुझे एक सामान्य नाम रखने के लिए मेरे वाइल्डकार्ड प्रमाणपत्र की आवश्यकता है *.testdomain.com?

ssl-certificate

— यमक
स्रोत

serverfault.com इस सवाल के लिए बेहतर जगह हो सकती है।

38

हां, वाइल्डकार्ड प्रमाणपत्र के लिए आपका सामान्य नाम * .yourdomain.com होना चाहिए।

मूल रूप से, सामान्य नाम वह है जो बताता है कि आपका प्रमाणपत्र किस डोमेन के लिए अच्छा है, इसलिए उसे वास्तविक डोमेन निर्दिष्ट करना होगा।

स्पष्टीकरण: यह नहीं "में" चाहिए साइटों का डोमेन नाम है, यह चाहिए हो साइटों के डोमेन। मैं अनुमान लगा रहा हूं कि आपके प्रश्न में कोई अंतर नहीं है, मैं सिर्फ यह स्पष्ट करना चाहता था कि यदि डोमेन क्या होना चाहिए या क्या प्रमाण पत्र का उपयोग किया जाएगा, तो यह गलत धारणा है।

— डैनियल मैगलियोला
स्रोत

4

वास्तव में, आपको FQDNs को निर्दिष्ट करने के लिए प्रमाणपत्र dnsNameके subjectAltNameअनुभाग में प्रविष्टियों का उपयोग करना चाहिए , न कि सीएन के हिस्से का subject। subject2000 में RFC 2818 प्रकाशित होने के बाद से इस उद्देश्य के लिए उपयोग किया गया है। कोटेशन सेक्शन 3.1 :

यदि टाइप dNSName का कोई विषयअनाम नाम मौजूद है, तो उस पहचान के रूप में उपयोग किया जाना चाहिए। अन्यथा, प्रमाण पत्र के विषय क्षेत्र में (सबसे विशिष्ट) सामान्य नाम फ़ील्ड का उपयोग किया जाना चाहिए। यद्यपि सामान्य नाम का उपयोग मौजूदा अभ्यास है, यह पदावनत है और प्रमाणन अधिकारियों को इसके बजाय dNSName का उपयोग करने के लिए प्रोत्साहित किया जाता है।

एकमात्र मामला जहां subjectसर्वर सर्टिफिकेट सत्यापन के संदर्भ में सामग्री प्रासंगिक है, अगर उसमें कोई ऐसा मामला dnsNameशामिल नहीं है subjectAltName, जो पिछले 17 वर्षों से लेखन के समय में पदावनत किया गया हो।

वाइल्डकार्ड प्रमाणपत्रों के उपयोग को दर्शाया गया है, जैसा कि RFC 6125 की धारा 7.2 द्वारा दिखाया गया है :

इस दस्तावेज़ में कहा गया है कि वाइल्डकार्ड वर्ण '' 'SHOULD को प्रस्तुत किए गए पहचानकर्ता में शामिल नहीं किया जा सकता है, लेकिन MAY को एप्लिकेशन क्लाइंट (मुख्य रूप से तैनात अवसंरचना के साथ पिछड़ी अनुकूलता के लिए) द्वारा चेक किया जाना चाहिए।

कई सेवाओं के लिए एक ही निजी कुंजी का उपयोग करना आमतौर पर बुरा व्यवहार माना जाता है। क्या सेवाओं में से एक से समझौता किया जाना चाहिए, अन्य सेवाओं से संचार जोखिम में होगा और आपको सभी सेवाओं के लिए कुंजी (और प्रमाण पत्र) को बदलना होगा।

मैं RFC 6125 को इस मामले पर जानकारी के एक अच्छे स्रोत के रूप में सुझाव देता हूं।

— एरवान लेग्रैंड
स्रोत

"और इसलिए वाइल्डकार्ड प्रमाण पत्र हैं": क्या आप कृपया विस्तार से बता सकते हैं? dnsNameएक वाइल्डकार्ड डोमेन हो सकता है। इसके अलावा, subjectउस मामले में क्या होना चाहिए ?

— WoJ

RFC 6125 सेक्शन 1.5 और 7.2 पर एक नज़र डालें । जब तक subjectAltNameकम से कम एक होता है dnsName, तब subjectतक सर्टिफिकेट वेरिफिकेशन के संदर्भ में सामग्री अप्रासंगिक हो जाती है।

— एरवन लीग्रैंड

@WoJ मैंने अपना उत्तर संपादित किया है। मुझे उम्मीद है कि अब यह सब स्पष्ट हो जाएगा।

— एरवन लीग्रैंड

3

हां, वाइल्डकार्ड SSL प्रमाणपत्र आपकी आवश्यकताओं के अनुसार सबसे अच्छा समाधान है। वाइल्डकार्ड प्रमाण पत्र के साथ आप अपने आगंतुक की जानकारी की रक्षा करने में सक्षम होंगे। कोई बात नहीं है, आपकी वेबसाइट का कौन सा पेज सबमिट किया गया है। वाइल्डकार्ड सर्टिफिकेट एक ही डोमेन नाम को साझा करने वाले सभी उप डोमेन की असीमित संख्या को सुरक्षित करता है।

सभी उप-डोमेन और सर्वर पर एक ही वाइल्डकार्ड प्रमाणपत्र स्थापित करना इनबिल्ट जोखिम को प्रसारित करता है: यदि एक सर्वर या उप-डोमेन समझौता किया जाता है, तो सभी उप-डोमेन समान रूप से समझौता कर सकते हैं। सुनिश्चित करें कि आपकी वेबसाइट सभी बाहरी और आंतरिक दबाव से सुरक्षा के कई स्तरों से सुरक्षित है।

— जय दान
स्रोत