2010-01-22 130 views
118

我們有通配符SSL證書* .domain.com,並與sub1.sub2.domain.com的子子域通配符SSL

的Safari 4.0.4網站MacOSX上彈出一個證書錯誤(大概因爲通配符解釋),而在Windows上Safari 4沒有。

另外ie8行爲混合最好,有些ie8不顯示證書錯誤,有些不顯示。

在Safari和IE上導致這種奇怪行爲的原因是什麼?

+4

剛剛在購買新的2年證書後才意識到這個問題...... – Rafa 2012-06-26 15:21:37

回答

13

通配符僅適用於您域的第一部分(從左邊開始)。所以你需要* .sub2.domain.com的證書

如果你的意思是你有sub1.domain.com和sub2.domain.com,那麼它應該工作。

143

* .example.net通配符SSL證書將匹配sub.example.net但不sub.sub.example.net

RFC 2818

匹配是使用由 RFC2459指定的匹配規則進行的。如果在 中存在多於一個給定類型的身份證書(例如,多個dNSName名稱,該集合中的任何一個 中的匹配被認爲是可接受的)。名稱可以包含通配符 字符*,其被認爲是匹配任何單個域名 組件或組件片段。例如,*.a.com匹配foo.a.com,但是 不是bar.foo.a.comf*.com匹配foo.com但不是bar.com

+118

那麼肯定是證書頒發機構的一個騙局。證書頒發機構早已基本上是一個騙局,爲了限制通配符證書,這完全是一個黃金挖掘的舉措。 – 2012-07-13 12:54:17

+3

@Chris 我不這麼認爲,有各種技術因素限制這種規則,迫使證書頒發機構相應地開發安全證書。 – 2012-10-08 05:20:31

+44

@sophie @sophie各種技術因素,就像有人認爲出售無限證書更有利可圖,而不是允許1證書覆蓋每一種情況到無限。 – 2012-10-08 13:06:50

44

如果您需要的是包含通配符證書* .domain.com網站,也與sub1.sub2.domain.com或其他域,如* .domain2.com工作,可以解決與一個通配符證書所謂的主題替代名稱(SAN)擴展用於每個其他子子域。 SAN證書不僅適用於多個特定的主機名,還可以爲通配符條目創建它。

例如,* .domain.com,sub1.sub2.domain.com和* .domain2.com將具有* .domain.com的通用名稱,那麼您將附加兩個*的主題替代名稱。 domain2.com和* .sub2.domain.com。它可能取決於證書頒發機構,他們將如何向您收取證書(但不是),但是有一些可用的證書。此外,SAN支持在網絡瀏覽器領域非常普遍。這是Google使用SSL證書的最好的現實例子。打開谷歌並查看其SSL證書,你會發現它適用於* .google.com,* .youtube.com,*。gmail.com,以及更多被列爲主題備選名稱的地方。

+6

什麼是可以頒發此類證書的CA的示例? – 2014-02-20 18:03:55

+9

因此,有可能獲得'* .DOMAIN.COM'的證書,該證書具有用於'*。*。DOMAIN.COM'(可能是'*。*。*。DOMAIN.COM')的SAN來覆蓋這些子子域和子子子域? – 2014-04-11 01:06:51

+2

@SimonEast不可能。 – Nick 2017-01-24 15:21:03