Curinga não está funcionando para o sub-sub domínio?

Navegue suas respostas
4

Eu tenho um SSL curinga para um determinado domínio, para fins de perguntas, digamos *.example.com . Ele funciona bem se eu combinar um subdomínio direto como aaaa.example.com , mas quando tento associar um sub-subdomínio como aaa.bbb.example.com , recebo um erro de segurança no meu navegador dizendo

aaa.bbb.example.com and *.example.com mismatch

Este é o comportamento normal ou posso investigar mais?

Só para ajudar aqui está o meu conteúdo de CRT: 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
    
por Nicocube 14.08.2012 / 17:22

4 respostas

5

De RFC 2818 :

Matching is performed using the matching rules specified by [RFC2459]. If more than one identity of a given type is present in the certificate (e.g., more than one dNSName name, a match in any one of the set is considered acceptable.) Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., .a.com matches foo.a.com but not bar.foo.a.com. f.com matches foo.com but not bar.com.

Para contornar esse problema, foram introduzidos certificados UCC, como os certificados curinga com Nomes Alternativos de Assunto (SAN), que permitem especificar subdomínios de vários níveis (junto com nomes de domínio diferentes) como nomes de host válidos para o certificado. Estes certificados são suportados por todos os principais navegadores.

    
por 14.08.2012 / 17:28
1

Certificados curinga não suportam sub-subdomínios. Em outras palavras, eles são bons apenas para o nível do domínio atual.

Então, se você comprar um certificado para *.foo.com , ele NÃO também protegerá *.bar.foo.com .

Existem vários recursos on-line, incluindo Verisign, GlobalTrust e outros que também explicam isso. É uma droga eu sei!

    
por 14.08.2012 / 17:25
1

Isto é esperado behviour. Excerto de RFC2818 - HTTP sobre TLS :

Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not bar.com.

    
por 14.08.2012 / 17:28
0

Mais investigações sobre o problema do escopo do certificado que causou sua irritação:

Tecnicamente, é possível criar um certificado para *. *. domain.com, eu mesmo fiz isso, mas os navegadores não suportam isso.

Os resultados do teste e um pouco mais são mencionados em " Certificado SSL Wildcard para segundo subdomínio de nível ".

    
por 17.09.2013 / 18:27

Tags

Como posso executar duas versões do Django no mesmo servidor? O script em lote para testar se uma pasta existe falha ao verificar um caminho UNC