Os certificados SSL para constante. *. domain.com são permitidos? [duplicado]

4

Temos um caso de uso em que gostaríamos de fornecer um certificado SSL para:

auth.SOME_ID.example.com

No entanto, haverá vários valores de SOME_ID. Um certificado curinga SSL para auth.*.example.com é permitido ou o curinga tem que ser o subdomínio de nível mais alto?

    
por Carlos P 04.02.2017 / 11:59

2 respostas

8

auth.*.example.com não é um nome válido no DNS. Um rótulo de caractere curinga deve ser o rótulo mais à esquerda e não pode haver mais de um.

Se as várias CAs e navegadores importam que é um nome DNS inválido é outra questão (o campo DN em um certificado X.509 deve ser um caminho de catálogo X.500, portanto, Nomes DNS lá estão encolhidos para os lados para começar), e eu acho que já foi respondido adequadamente.

    
por 04.02.2017 / 12:52
7

Você não pode fazer isso. De um ponto de vista prático, você só pode ter um caractere curinga em um nome DNS de certificado e ele deve estar na posição mais à esquerda.

Algumas opções:

  1. Crie auth um nome reservado em seu ambiente e, em vez disso, projete seu sistema para usar SOME_ID.auth.example.com ( *.auth.example.com é um certificado curinga válido).
  2. Crie seus serviços para usar um prefixo, para que o nome esteja no mesmo nível:% auth-SOME_ID.example.com . Em seguida, um simples certificado curinga *.example.com cobrirá você.
  3. Crie infraestrutura para solicitar novos certificados, conforme necessário, de um provedor como o LetsEncrypt.org, para os endereços auth.SOME_ID.example.com específicos de que você precisa.

Existem outros também. Por exemplo, você pode se tornar sua própria Autoridade de Certificação ... embora isso seja quase certamente mais problemático do que vale a pena se você quiser que esses certs sejam publicamente confiáveis. O ponto principal é que você precisa olhar para outra maneira de conseguir isso. Vai levar algum pensamento, mas não é impossível.

    
por 04.02.2017 / 18:31