的子子域通配符SSL
我们有通配符SSL证书* .domain.com,并与sub1.sub2.domain.com的子子域通配符SSL
的Safari 4.0.4网站MacOSX上弹出一个证书错误(大概因为通配符解释),而在Windows上Safari 4没有。
另外ie8行为混合最好,有些ie8不显示证书错误,有些不显示。
在Safari和IE上导致这种奇怪行为的原因是什么?
通配符仅适用于您域的第一部分(从左边开始)。所以你需要* .sub2.domain.com的证书
如果你的意思是你有sub1.domain.com和sub2.domain.com,那么它应该工作。
为* .example.net通配符SSL证书将匹配sub.example.net但不sub.sub.example.net。
从RFC 2818:
匹配是使用由 RFC2459指定的匹配规则进行的。如果在 中存在多于一个给定类型的身份证书(例如,多个dNSName名称,该集合中的任何一个 中的匹配被认为是可接受的)。名称可以包含通配符 字符
*,其被认为是匹配任何单个域名 组件或组件片段。例如,*.a.com匹配foo.a.com,但是 不是bar.foo.a.com。f*.com匹配foo.com但不是bar.com。
那么肯定是证书颁发机构的一个骗局。证书颁发机构早已基本上是一个骗局,为了限制通配符证书,这完全是一个黄金挖掘的举措。 – 2012-07-13 12:54:17
@Chris 我不这么认为,有各种技术因素限制这种规则,迫使证书颁发机构相应地开发安全证书。 – 2012-10-08 05:20:31
@sophie @sophie各种技术因素,就像有人认为出售无限证书更有利可图,而不是允许1证书覆盖每一种情况到无限。 – 2012-10-08 13:06:50
如果您需要的是包含通配符证书* .domain.com网站,也与sub1.sub2.domain.com或其他域,如* .domain2.com工作,可以解决与一个通配符证书所谓的主题替代名称(SAN)扩展用于每个其他子子域。 SAN证书不仅适用于多个特定的主机名,还可以为通配符条目创建它。
例如,* .domain.com,sub1.sub2.domain.com和* .domain2.com将具有* .domain.com的通用名称,那么您将附加两个*的主题替代名称。 domain2.com和* .sub2.domain.com。它可能取决于证书颁发机构,他们将如何向您收取证书(但不是),但是有一些可用的证书。此外,SAN支持在网络浏览器领域非常普遍。这是Google使用SSL证书的最好的现实例子。打开谷歌并查看其SSL证书,你会发现它适用于* .google.com,* .youtube.com,*。gmail.com,以及更多被列为主题备选名称的地方。
什么是可以颁发此类证书的CA的示例? – 2014-02-20 18:03:55
因此,有可能获得'* .DOMAIN.COM'的证书,该证书具有用于'*。*。DOMAIN.COM'(可能是'*。*。*。DOMAIN.COM')的SAN来覆盖这些子子域和子子子域? – 2014-04-11 01:06:51
@SimonEast不可能。 – Nick 2017-01-24 15:21:03
刚刚在购买新的2年证书后才意识到这个问题...... – Rafa 2012-06-26 15:21:37