第2レベルのサブドメインのワイルドカードSSL証明書

93

のような二重ワイルドカードをサポートする証明書があるかどうか知りたいの*.*.example.comですが？私は現在のSSLプロバイダー（register.com）に電話をかけたばかりで、そこの女の子はそのようなものは何も提供しておらず、とにかくそれが可能だとは思わないと言った。

これが可能かどうか、そしてブラウザがこれをサポートしているかどうか、誰にも教えてもらえますか？

— アレクサンダー・ブロムスコルド
ソース

10

将来の訪問者の参考までに*.*.example.com、2015年の時点で二重ワイルドカード証明書ala をサポートしているブラウザはありません。理由はわかりません。

— マーン

@Mahnそして、あなたが書くために持っている*.a.a.com、*.b.a.com、*.c.a.com手動で、...？

— ウィリアム

1

@LiamWilliam、どうやら今までブラウザが好きだった他の組み合わせは見つけられなかったようだ。苦痛です。

— マーン

1

@Williamはい、しかしその一方で、.ドメイン名の中で一緒に属するものを分離するためにを使用しないでください-ドメインはドメインの関心事です。DNSおよびTLSの用語で意味的に正確で扱いやすいphpmyadmin.serverX.domain.com場合、なぜ必要なのでしょうかphpmyadmin-serverX.domain.com。

— ダニエルW.

52

RFC2818の状態：

証明書に特定のタイプの複数のIDが存在する場合（たとえば、複数のdNSName名、セットのいずれかでの一致は許容可能と見なされます。）名前にはワイルドカード文字*を含めることができます。ドメイン名コンポーネントまたはコンポーネントフラグメント。たとえば、*。a.comはfoo.a.comと一致しますが、bar.foo.a.comとは一致しません。f * .comはfoo.comと一致しますが、bar.comとは一致しません。

Internet Explorerは、RFCで概説されている方法で動作します。各レベルでは、独自のワイルドカード証明書が必要です。Firefoxは、other.levels.domain.comを含むdomain.comの前にあるすべてに一致する* .domain.comだけでなく、*。*。domain.comタイプも処理します。

だから、あなたの質問に答えるために：それは可能であり、ブラウザによってサポートされています。

— アレックス
ソース

5

ありがとうございました！今朝のFF 3.5.7でのテストでは、IEと同じようにRFCに準拠していることが示されました。foo.bar.example.comの.example.com証明書を拒否しました。したがって、必要なのは、*が付いた別のワイルドカード証明書だけです。共通名としての.example.com？

7

私はちょうどFF 3.5とIE 8でテストしましたが、どちらも証明書を受け入れません。.example.com。唯一の解決策は、複数のワイルドカード証明書を使用することだと思います。

— ロバート

9

誰がこの標準を書いたのですか？これは無価値です。あなたが私に尋ねた場合もお金の無駄。それは何を保護しますか？

— ブレントパブスト

6

ダブルワイルドカードが問題を引き起こす場合、ワイルドカードの周りの特定のサブドメインは機能しますか？alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com

— rcoup

2

@tudor FWIW、私はちょうどテストしました、そして、Firefoxは証明書を有効にしているにもかかわらず、証明書でアクセスするときあなたの接続は安全でないページを示します。ですから、私が知る限り、この答えは少なくとも今日は間違いです。回答が投稿された日に行動を再現できなかったというコメントも誰かから投稿されたことを考えると、それが正しいかどうかは懐疑的です。sub1.sub2.mydomain.com*.mydomain.comsub2.mydomain.com

— マークアメリー

20

FFとIE 8は、証明書*.*.example.comを作成することはできますが、フォームの証明書を受け入れません。

2

次に、あなたが書く必要がない*.a.a.com、*.b.a.com、*.c.a.com手動で？

— ウィリアム

2

@ウィリアム私はそう思う。これは本当に残念です。

— フランクリンゆう

17

ワイルドカードSSL証明書が* .domain.comに対して発行されると、メインドメイン上で無制限の数のサブドメインを保護できます。

例えば：

sub1.domain.com
sub2.domain.com
sub3.domain.com
sub * .domain.com

ワイルドカードSSL証明書が* .sub1.domain.comで発行されている場合、その場合、sub1.domain.comの下にリストされているすべての第2レベルのサブドメインを保護できます。

例えば：

aaa.sub1.domain.com
bbb.sub1.domain.com
ccc.sub1.domain.com
***。sub1.domain.com

限られた数のサブドメインと第2レベルのドメインを保護する場合、単一の証明書で最大100個のドメイン名を保護できるマルチドメインSSLを選択できます。

例えば：

domain.com
sub1.domain.com
aaa.sub2.domain.com
domain2.net
domain3.org

SSL証明書を選択するための実際の要件を知っている必要があります。

— ジェイソン・パームズ
ソース

1

これは良い理解ですが、質問には答えません。あなたはすべての組み合わせではなく、OPはを求めた1（言及。 .domain.comを）。

— ダニエルW.

8

これは、現在のブラウザバージョンでの新しいテストの価値があるかもしれません。

個人的なクイックチェックの結果：Firefox 20.0.1はまだこれをサポートしていないようです。それが示している：

この証明書は*。*。mydomain.comでのみ有効です

... https://svn.project.mydomain.comにアクセスするとき。

Internet Explorer 9.0：

このウェブサイトの証明書は別のアドレス用に作成されました

ノート：

どちらのステートメントも、私がドイツ語から英語に翻訳しました。おそらく、英語版のブラウザーが示すのと同じフレーズを使用しなかったでしょう。
自己署名証明書を使用しました。これにより、ブラウザーは警告の追加文を表示しました。上記の引用は、信頼できる証明書発行者でも表示されると思います。これを確認することは、私の「クイックチェック」の範囲外でした。

— クラウス・ソーン
ソース

7

サブサブドメインを保護するための要件も同じであり、DigiCertのソリューションに出くわしたので、これに関する調査を行ったところです。

この証明書は、それがサポートすると言うyourdomain.com、*.yourdomain.com、*.*.yourdomain.comようにと。

現在はかなり高価ですが、他のプロバイダーが同様の証明書の提供を開始し、価格を引き下げることを期待しています。

— F21
ソース

これが正しいアプローチです。複数の（ワイルドカード）名がサポートされているワイルドカード証明書

— drAlberT

この証明書はdigicertから取得しています。サポートしていますが、デフォルトではサポートされていません。重複する証明書を作成し、証明書内のすべてのサブドメインを指定する必要があります。自動ではありません。

— L_7337

7

ここでのすべての回答は時代遅れであるか、2011年のRFC 6125を考慮していない完全に正しいものではありません。

RFC 6125によると、左端のフラグメントには単一のワイルドカードのみが許可されています。

有効：

*.sub.domain.tld
*.domain.tld

無効：

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

フラグメント、または「ラベル」とも呼ばれる閉じたコンポーネントです。たとえば、*.com（2ラベル）が一致しないlabel.label.com（3ラベル）-これはRFC 2818で既に定義されています。

RFC 2818の2011年以前は、設定は完全に明確ではありませんでした。

既存のアプリケーションテクノロジの仕様は、ワイルドカード文字の許容位置について明確または一貫性がありません。

これは2011（6.4.3）からRFC 6125で変更されました：

クライアントは、ワイルドカード文字が左端のラベル以外のラベルを含む提示された識別子との一致を試行すべきではありません（たとえば、bar。*。example.netと一致しない）。

— ダニエル・W
ソース

2

私はあなたの質問を検討していませんが、たまたま数分前にそれについて何かを読んだだけです。

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

これは、二重アスタリスクを使用できないことを説明しています

編集

ウェブサイトがダウンしたり、読むのが長すぎる場合に備えて、見積もりの一部を追加してください

不可能なのは、mail.xyz.comとphotos.xyz.comの両方のサブドメインを単一のワイルドカードでカバーしようとすることです。CAまたは認証局は、単一（*）のSSL証明書のみを提供できます。次のような証明書署名要求を生成できませんでした。.xyz.comを使用して、複数の第2レベルのサブドメイングループをカバーしようとします。

理由

「ダブルワイルドカード」SSL証明書を持つことができない理由は、プレースホルダーであるアスタリスクがCAに送信された名前の1つのフィールドのみに代わることができるためです。結局、CAはすべての情報を検証する必要があり、証明書の変数が多すぎると、証明書が提供するセキュリティと信頼性が低下します。

さらに、これはIT管理者やWebサイトの所有者にとっても重要であり、内部セキュリティを簡単に侵害することはできません。SSL証明書が配置された後のあらゆる種類のセキュリティ問題は、秘密キーと証明書にアクセスできる人が実際に対象とするサブドメインWebサイトをセットアップできる内部セキュリティ侵害から発生する可能性が非常に高いことに注意してくださいSSL。

— deadManN
ソース

1

回答ガイドラインでは、回答本文に記事の重要な部分を引用する必要があることに注意する必要があります。このリンクは時間とともに変化するか、記事が削除される可能性があるためです。それ以外の場合は、回答と見なされない場合があります。

— sr9yar

0

できることは、*。domain.comのようなもので、*。www.domain.comまたは* .mail.domain.comです。実稼働サイトで*。*。domain.comを見たことがない。

ワイルドカード（* .domain.com）を取得できますが、これを機能させるには、サブジェクト名の代替エントリとして* .www.domain.comも必要です。私がこれを提供しているのは、ssl.comとdigicertだけです。他にもあるかもしれませんが、私にはわかりません。

— コルトブレイク
ソース

letsencryptを使用すると、ワイルドカード証明書も発行できます。また、複数のSANを使用できます。したがって、SANのセットを定義できます。例-d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com。

— 断片化さ