Я хотел бы знать, поддерживают ли какие-либо сертификаты двойной подстановочный знак, например *.*.example.com? Я только что разговаривал по телефону с моим текущим поставщиком SSL (register.com), и девушка там сказала, что они не предлагают ничего подобного и что она все равно не думает, что это возможно.
Может ли кто-нибудь сказать мне, возможно ли это и поддерживают ли это браузеры?
RFC2818 состояния:
Если в сертификате присутствует более одного идентификатора данного типа (например, более одного имени dNSName, соответствие в любом из набора считается приемлемым). Имена могут содержать подстановочный знак *, который считается совпадающим с любым одним компонент доменного имени или фрагмент компонента. Например, * .a.com соответствует foo.a.com, но не bar.foo.a.com. f * .com соответствует foo.com, но не bar.com.
Internet Explorer ведет себя так, как описано в RFC, где для каждого уровня требуется собственный сертификат с подстановочными знаками. Firefox доволен одним * .domain.com, где * соответствует чему-либо перед domain.com, включая other.levels.domain.com, но также будет обрабатывать типы *. *. Domain.com.
Итак, отвечу на ваш вопрос: это возможно и поддерживается браузерами.
Когда Wildcard SSL-сертификат выдается для * .domain.com, вы можете защитить неограниченное количество поддоменов в основном домене.
Например:
Если SSL-сертификат Wildcard выпущен на * .sub1.domain.com, в этом случае вы можете защитить все поддомены второго уровня, которые перечислены в sub1.domain.com
Например:
Если вы хотите защитить ограниченное количество поддоменов и доменов второго уровня, вы можете выбрать многодоменный SSL, который может защитить до 100 доменных имен с помощью одного сертификата.
Например:
Вы должны знать свои фактические требования, чтобы выбрать сертификат SSL.
Просто чтобы подтвердить, что FF и IE 8 НЕ будут принимать сертификаты в форме *.*.example.com хотя создать их технически возможно.
Все ответы здесь устарели или не полностью верны, не считая RFC 6125 от 2011 года.
Согласно RFC 6125, в крайнем левом фрагменте допускается только один подстановочный знак.
Действителен:
*.sub.domain.tld
*.domain.tld
Недействительным:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
Фрагмент, также называемый «меткой», представляет собой закрытый компонент, например: *.com (2 метки) не соответствует label.label.com (3 метки) - это уже было определено в RFC 2818.
До 2011 года в RFC 2818 настройка не была полностью ясна:
В спецификациях существующих прикладных технологий нет четкого или непротиворечивого определения допустимого местоположения подстановочного символа.
Это изменилось в RFC 6125 с 2011 г. (6.4.3):
Клиенту НЕ СЛЕДУЕТ пытаться сопоставить представленный идентификатор, в котором подстановочный знак содержит метку, отличную от самой левой метки (например, не совпадать с bar. *. Example.net).
Это может стоить нового раунда тестов с текущими версиями браузеров.
Моя личная быстрая проверка приводит к следующему: Firefox 20.0.1, похоже, все еще не поддерживает это. Это показывает:
Этот сертификат действителен только для *. *. Mydomain.com
... при переходе на https://svn.project.mydomain.com.
Internet Explorer 9.0:
Сертификат этого сайта сделан на другой адрес
Ноты:
Я просто проводил небольшое исследование по этому поводу, так как у меня те же требования к безопасности субдоменов, и я наткнулся на решение от DigiCert.
Этот сертификат говорит, что он будет поддерживать yourdomain.com, *.yourdomain.com, *.*.yourdomain.com и так далее.
В настоящее время это довольно дорого, но есть надежда, что другие провайдеры начнут предлагать аналогичные сертификаты и снизят цены.
хотя я не рассматриваю ваш вопрос, я случайно прочитал кое-что об этом несколько минут назад:
https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php
это объясняет, что вы не можете использовать двойную звездочку
Добавьте часть цитаты на случай, если веб-сайт выйдет из строя или его слишком долго читать
Что невозможно, так это попытаться охватить оба поддомена mail.xyz.com и photos.xyz.com одним подстановочным знаком. ЦС или центр сертификации может предоставить сертификат SSL только с одним (*). Вы не смогли сгенерировать запрос на подпись сертификата, который выглядел бы так: ..xyz.com, чтобы попытаться охватить более одной группы поддоменов второго уровня.
Причина почему
Причины, по которым невозможно иметь сертификат SSL с двойным подстановочным знаком, заключаются в том, что заполнитель, звездочка, может заменять только одно поле в имени, переданном в ЦС. В конце концов, CA должен проверять всю информацию, а слишком большое количество переменных в сертификате снизит безопасность и уверенность, которые обеспечивает сертификат.
Кроме того, что важно для ИТ-менеджеров и владельцев веб-сайтов, внутренняя безопасность не может быть нарушена так легко. Имейте в виду, что любая проблема безопасности после установки сертификата SSL гораздо более вероятна из-за нарушения внутренней безопасности, когда кто-то, имеющий доступ к закрытому ключу и сертификату, может создать веб-сайт поддомена, который фактически покрывается SSL.
Вы можете сделать что-то вроде * .domain.com, а затем * .www.domain.com или * .mail.domain.com. Я никогда не видел *. *. Domain.com на рабочем сайте.
Вы можете получить подстановочный знак (* .domain.com), но вам также понадобится * .www.domain.com в качестве альтернативной записи имени субъекта, чтобы это работало. Единственные известные мне компании, предлагающие это, - это ssl.com и digicert. Могут быть и другие, но я не уверен.