Certificado curinga SSL + SAN para corresponder a vários subdomínios específicos da seção curinga

Navegue suas respostas
2

Digamos que eu possua o domínio domainname.com e o que configurar vários sites como subdomínios neste domínio, mas esses sites também usam vários endpoints especiais como subdomínios adicionais. Posso colocá-los todos em um certificado SSL SAN + wildcard? e quais provedores podem suportar a criação do dito certificado

i.e. Eu o que proteger: 

domainname.com
siteXXX.domainname.com (where siteXXX refers to the sub sites token)
www.domainname.com
api.domainname.com
mail.domainname.com
www.siteXXX.domainname.com
api.siteXXX.domainname.com
mail.siteXXX.domainname.com

então eu estava pensando que preciso de algo que pareça 

domainname.com
*.domainname.com (covers siteXXX, api, www, mail)
www.*.domainname.com (covers www.siteXXX)
api.*.domainname.com (covers api.siteXXX)
mail.*.domainname.com (covers mail.siteXXX)

dose o padrão mesmo permitir isso, não tenho certeza porque só posso encontrar exemplo com o componente curinga como o sub-domínio de nível mais baixo, não um sub-domínio de nível médio.

    
por Glen Fletcher 14.10.2017 / 07:53

2 respostas

1

Mesmo se você emitir um certificado com essas SANs, elas não validarão esses domínios em navegadores ou em qualquer aplicativo que siga as práticas recomendadas para uma PKI (leia esta RFC da IETF, por exemplo).

Você está pensando como proprietário legítimo de todos os domínios cobertos por esse certificado, mas e se um navegador aceitou um certificado para www.*.com ?

Eu possuo www.zip.com , mas isso não deve me tornar capaz de emitir um certificado que valida www.amazon.com também.

    
por 15.10.2017 / 03:13
0

Um certificado SSL Wildcard abrange apenas os subdomínios do nome para o qual está registrado. Um certificado *.domain.com SSL cobrirá qualquer coisa abaixo de domain.com , mas não sob os subdomínios em domain.com . Então, não cobriria second.first.domain.com .

Embora os Certificados curinga não cubram vários níveis de subdomínios, você pode adicioná-los ao certificado como uma SAN. Para fazer isso, verifique com seu emissor de certificado como fazer isso. A maioria permitirá isso. Você simplesmente adiciona o subdomínio com outro asterisco. Assim, posso adicionar uma SAN de *.first.domain.com ao certificado e isso cobrirá meu domínio second.first.domain.com . Ele também cobre qualquer coisa abaixo dele. E não se esqueça de adicionar o próprio domínio raiz, já que o Certificado Wildcard não o cobre (eu acho).

Assim, em resposta à sua pergunta, você pode obter um certificado curinga que protege 

*.domainname.com

Com SANs de 

domainname.com
*.siteXXX.domainname.com

Espero que isso ajude!

    
por 15.10.2017 / 03:42

Tags

Erros de e-mail enviados RST ACK depois de SYN e retransmissão