SSL nomes comuns para domínios de segundo nível

Question

SSL nomes comuns para domínios de segundo nível

#1 resposta do (4 votos)

1

Durante a configuração de SSL e certificados no meu servidor Apache, tive alguns problemas com domínios de segundo nível, como .com.pt.

Se eu pedir um certificado para um domínio www.xpto.com , ele será emitido para www.xpto.com e xpto.com .

Se eu pedir um certificado para www.xpto.com.pt , ele só funcionará para www.xpto.com.pt , mas não para xpto.com.pt (emitido por RapidSSL)

Existe uma razão técnica para isso?

ssl-certificate domain-name

por GriffinHeart 20.10.2011 / 16:12

1 resposta

Tags ssl-certificate domain-name

OpenVPN - permite acesso a apenas um servidor na rede Por que recebo um erro de sintaxe bash ao alterar a saída para um arquivo de um comando nohup?

score 4 · Accepted Answer

Sim. Para os não iniciados, vamos dividir isso em pequenos pedaços:

Quando você solicita um Certificado x509 padrão com Extensão de Autenticação do Servidor (comumente chamado de Certificado SSL), é necessário fornecer um Nome do Assunto (SN). Esse SN deve corresponder ao que o usuário digita para o certificado ser usado sem uma mensagem de aviso.

Tecnicamente, o certificado só deve ser válido para o SN exato que você fornecer à CA. Portanto, se você solicitar www.example.com , então somente funcionará para esse nome de domínio, ele não deverá funcionar para example.com ou nada além de www.example.com .

No entanto, muitos sites também funcionam em nomes de domínio alternativos. É muito comum o nome de domínio padrão funcionar. Então, no exemplo www.example.com ; www é um nome de host e example.com é um nome de domínio. O certificado foi solicitado e emitido para www.example.com e, conforme estabelecido no parágrafo anterior, isso não corresponde a example.com (porque example.com está solicitando o registro de host padrão (A) para o domínio example.com ; ele deve ser muito aparente que o host www e o host padrão não são os mesmos em um sentido de DNS, e certamente não precisam ser o mesmo site mesmo).

A maioria das pessoas realmente tem o mesmo site em ambos os nomes de host. Além disso, a maioria dos usuários espera que eles possam digitar o nome e o site correto será exibido. Devido a isso, a maioria das CAs não emite o certificado solicitado . Eles realmente emitem um certificado com o SN que você forneceu (como acima) e que também contém um Nome Alternativo de Assunto (SAN; que, como o nome indica, fornece nomes alternativos que um usuário pode digitar e que devem ser aceitos sem uma mensagem de aviso) . Isso geralmente funciona somente quando você solicita um nome de domínio de segundo nível (por exemplo, example.com ) e ignora www como um nome de domínio de terceiro nível (por exemplo, www.example.com se torna example.com para fins de certificado).

Geralmente, quando você solicita um certificado para example.com ou www.example.com , na verdade, obtém um certificado com um SN de example.com e uma SAN de www.example.com . O TLD geralmente pode ser qualquer coisa.

Mas, quando você solicita um certificado com um nome mais específico, como seu exemplo (da pergunta), em que há 4 níveis (ou mais) de nome de domínio, eles não incluem esse nome alternativo.

Você pode solicitar um especificamente. Às vezes, simplesmente perguntando a eles, eles o emitem sem custo adicional. Outras vezes você precisa solicitar um certificado de UCC ou SAN Múltipla (mesma coisa, nomes diferentes). Um certificado curinga também funcionaria, embora eles tendam a ser mais caros e geralmente exigem um maior grau de autenticação do comprador.