Załóżmy, że jestem właścicielem example.com , a ja kupuję Wildcard SSL CERT, który działa dla *. Example.com . Zarząd Chce teraz stworzyć witryny "Companion" do prowokujących istniejących witryn. Więc jeśli mam foo.example.com i bar.example.com mogą też chcieć, żebym mógł stworzyć meow.foo.example.com i Woof.bar.example.com .

Istniejąca wiatrowa CERT działa dla witryn pod-domeny, ponieważ robiliśmy wszystko razem. Właśnie dowiedziałem się, że nie działa dla witryn pod-podtynkowych. Czy można utworzyć certyfikat wieloznaczny dla *. *. Example.com ?

Czy wymaga dodatkowego biorki CERT? Więc jeśli chcesz chronić poziomy x, potrzebujesz x certyfikaty?

Zastrzeżenie: Spędziłem trochę czasu na badania, ale są dużo pozornie sprzecznego kwestionariusza / odpowiedzi, więc czuję się źle o tym, że znowu pytam, ale nie chcę przejść przez kłopotów zakupów, aby dowiedzieć się później, że ja popełnił błąd.

0
WhiskerBiscuit 17 luty 2017, 09:58

2 odpowiedzi

Chociaż mogą istnieć pewne implementacje, które umożliwiają wiele wieloznacznych, skutecznie odpowiedzią jest nie, wiele wieloznaczne nie są dozwolone .

RFC 6125 (Sekcja 6.4.3) Próbuje wyjaśnić wspólny de facto Zasady i destylowane do rdzenia musi być skutecznie:

  • Jeśli pierwszy znak nie jest * Wykonaj dosłowny mecz. (Non-Wildcard).
  • Jeśli druga postać nie jest ., a następnie nic nie pasuje (nieprawidłowa wieloznaczna)
  • Znajdź pierwszy . w kandydata meczu i dosłowne dopasowanie rozpoczynające się od drugiego znaku w wartości DNSName.

Więc *.*.example.com nie pasuje do a.b.example.com, ponieważ .*.example.com! = {X3}}.

Oczywiście niektórzy klienci mogli wdrożyć swoją dopasowaną logikę inaczej. Ale licząc na cokolwiek bardziej rozluźnieniu niż ta interpretacja spowoduje, że niektórzy klienci mówiących, że nie jest mecz, kiedy miałeś nadzieję, że to.

(Okay RFC 6125 sekcja 6.4.3 nie ma żadnych rzeczywistych modernizacji; ale jeśli szanujesz nie powinien i nie podążaj za majem, ale zdobądź dopasowanie wieloznaczne, kończysz z powyższym.)

1
bartonjs 17 luty 2017, 13:09

Możesz przejść na Certyfikat Multi-Domain Wildcard SSL SSL zabezpieczyć podekwencję. Może zabezpieczyć pod kątem wieloznacznych

- *.mydomain.tld
- *.sub1.mydomain.tld
- *.sub2.mydomain.tld
- *.anydomain.com
0
MarianR 17 luty 2017, 09:30