Nome comum do Wildcard SSL - pode ser chamado de alguma coisa?

32

Eu estava me perguntando se um certificado SSL curinga necessariamente precisa ter um nome comum que contenha o nome de domínio dos sites que precisam do certificado SSL aplicado.

Por exemplo, para o seguinte:

Nome do domínio: testdomain.com

Subsites:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Eu preciso necessariamente que meu certificado curinga tenha um nome comum de *.testdomain.com ?

    
por pun 14.10.2009 / 02:20

3 respostas

38

Sim, seu nome comum deve ser * .yourdomain.com para um certificado curinga.

Basicamente, o Nome Comum indica a qual domínio seu certificado é válido, portanto, ele precisa especificar o domínio real.

Esclarecimento: não deve "conter" o nome de domínio dos sites, deve ser o domínio dos sites. Eu estou supondo que não há diferença em sua pergunta, eu só queria esclarecer, no caso de haver um equívoco sobre o que o domínio deveria ser, ou o que o certificado será usado para.

    
por 14.10.2009 / 02:41
3

Sim, o certificado SSL Wildcard é a melhor solução de acordo com seus requisitos. Com o certificado Wildcard, você poderá proteger as informações do visitante. Não importa qual página do seu site é enviada. O certificado curinga assegura um número ilimitado de sub-domínios que compartilham o mesmo nome de domínio.

Instalando o mesmo certificado curinga em todos os subdomínios & os servidores transmitem risco inerente: se um servidor ou subdomínio for comprometido, todos os subdomínios podem ser igualmente comprometidos. Certifique-se de que seu site esteja protegido com vários níveis de proteção contra todas as pressões externas e internas.

    
por 06.11.2012 / 12:03
3

Na verdade, você deve usar dnsName entradas na seção subjectAltName do certificado para especificar os FQDNs, não a parte CN do subject . O uso do subject para este propósito foi preterido desde a publicação da RFC 2818 em 2000. Citando seção 3.1 :

If a subjectAltName extension of type dNSName is present, that MUST be used as the identity. Otherwise, the (most specific) Common Name field in the Subject field of the certificate MUST be used. Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead.

O único caso em que o conteúdo do subject é relevante no contexto da validação do certificado do servidor é se não houver dnsName incluído no subjectAltName , um caso que foi preterido nos últimos 17 anos em o tempo de escrever.

O uso de certificados curinga é preterido, conforme mostrado na seção 7.2 do RFC 6125 :

This document states that the wildcard character '*' SHOULD NOT be included in presented identifiers but MAY be checked by application clients (mainly for the sake of backward compatibility with deployed infrastructure).

Usar a mesma chave privada para vários serviços geralmente é considerado uma prática ruim. Se um dos serviços for comprometido, as comunicações de outros serviços estarão em risco e você terá que substituir a chave (e certificado) por todos os serviços.

Eu sugiro o RFC 6125 como uma boa fonte de informação sobre este assunto.

    
por 03.02.2017 / 15:03