我們有通配符SSL證書* .domain.com,並與sub1.sub2.domain.com的子子域通配符SSL
的Safari 4.0.4網站MacOSX上彈出一個證書錯誤(大概因爲通配符解釋),而在Windows上Safari 4沒有。
另外ie8行爲混合最好,有些ie8不顯示證書錯誤,有些不顯示。
在Safari和IE上導致這種奇怪行爲的原因是什麼?
我們有通配符SSL證書* .domain.com,並與sub1.sub2.domain.com的子子域通配符SSL
的Safari 4.0.4網站MacOSX上彈出一個證書錯誤(大概因爲通配符解釋),而在Windows上Safari 4沒有。
另外ie8行爲混合最好,有些ie8不顯示證書錯誤,有些不顯示。
在Safari和IE上導致這種奇怪行爲的原因是什麼?
通配符僅適用於您域的第一部分(從左邊開始)。所以你需要* .sub2.domain.com的證書
如果你的意思是你有sub1.domain.com和sub2.domain.com,那麼它應該工作。
爲* .example.net通配符SSL證書將匹配sub.example.net但不sub.sub.example.net。
從RFC 2818:
匹配是使用由 RFC2459指定的匹配規則進行的。如果在 中存在多於一個給定類型的身份證書(例如,多個dNSName名稱,該集合中的任何一個 中的匹配被認爲是可接受的)。名稱可以包含通配符 字符
*
,其被認爲是匹配任何單個域名 組件或組件片段。例如,*.a.com
匹配foo.a.com
,但是 不是bar.foo.a.com
。f*.com
匹配foo.com
但不是bar.com
。
那麼肯定是證書頒發機構的一個騙局。證書頒發機構早已基本上是一個騙局,爲了限制通配符證書,這完全是一個黃金挖掘的舉措。 – 2012-07-13 12:54:17
@Chris 我不這麼認爲,有各種技術因素限制這種規則,迫使證書頒發機構相應地開發安全證書。 – 2012-10-08 05:20:31
@sophie @sophie各種技術因素,就像有人認爲出售無限證書更有利可圖,而不是允許1證書覆蓋每一種情況到無限。 – 2012-10-08 13:06:50
如果您需要的是包含通配符證書* .domain.com網站,也與sub1.sub2.domain.com或其他域,如* .domain2.com工作,可以解決與一個通配符證書所謂的主題替代名稱(SAN)擴展用於每個其他子子域。 SAN證書不僅適用於多個特定的主機名,還可以爲通配符條目創建它。
例如,* .domain.com,sub1.sub2.domain.com和* .domain2.com將具有* .domain.com的通用名稱,那麼您將附加兩個*的主題替代名稱。 domain2.com和* .sub2.domain.com。它可能取決於證書頒發機構,他們將如何向您收取證書(但不是),但是有一些可用的證書。此外,SAN支持在網絡瀏覽器領域非常普遍。這是Google使用SSL證書的最好的現實例子。打開谷歌並查看其SSL證書,你會發現它適用於* .google.com,* .youtube.com,*。gmail.com,以及更多被列爲主題備選名稱的地方。
什麼是可以頒發此類證書的CA的示例? – 2014-02-20 18:03:55
因此,有可能獲得'* .DOMAIN.COM'的證書,該證書具有用於'*。*。DOMAIN.COM'(可能是'*。*。*。DOMAIN.COM')的SAN來覆蓋這些子子域和子子子域? – 2014-04-11 01:06:51
@SimonEast不可能。 – Nick 2017-01-24 15:21:03
剛剛在購買新的2年證書後才意識到這個問題...... – Rafa 2012-06-26 15:21:37