ワイルドカードSSL証明書は、ルートドメインとサブドメインの両方を保護する必要がありますか？

この質問は、Comodoが* .example.comのワイルドカード証明書もルートドメインexample.comを保護すると言っているためです。そのため、単一の証明書で、my.example.comとexample.comの両方が、ブラウザーからの警告なしに保護されます。

ただし、これは、私が提供した証明書には当てはまりません。私のサブドメインは安全に保護されており、エラーは発生しませんが、ルートドメインはブラウザでエラーをスローし、識別を検証できないと言います。

この証明書を他の同様のシナリオと比較すると、エラーなく動作するシナリオでは、サブジェクトの別名（SAN）には* .example.comとexample.comの両方がリストされていますが、Comodoからの最近の証明書には*しかリストされていません。 example.comを共通名として、example.comをサブジェクトの別名として使用しないでください。

ルートドメインも正しく保護する必要がある場合、SAN詳細にリストする必要があることをだれでも確認/明確化できますか？

これを読んだとき：http : //www.digicert.com/subject-alternative-name.htm必要に応じて機能するためには、SANが両方をリストする必要があるようです。あなたの経験は？

どうもありがとう。

SSLの実装にはワイルドカードとの一致方法に多少の不整合がありますが、ほとんどのクライアントで機能するためには、代替名としてルートが必要です。

以下のための*.example.com証明書、

• a.example.com 合格する必要があります
• www.example.com 合格する必要があります
• example.com 合格すべきではありません
• a.b.example.com 実装に応じてパスする場合があります（おそらくそうではありません）。

基本的に、標準では*が1つ以上の非ドット文字と一致する必要があるとされていますが、一部の実装ではドットを使用できます。

正規の回答はRFC 2818（HTTP Over TLS）にある必要があります。

[RFC2459]で指定されたマッチングルールを使用して、マッチングが実行されます。証明書に特定のタイプの複数のIDが存在する場合（たとえば、複数のdNSName名、セットのいずれかでの一致は許容可能と見なされます。）名前にはワイルドカード文字*を含めることができます。ドメイン名コンポーネントまたはコンポーネントフラグメント。たとえば、*.a.comfoo.a.com と一致しますが、bar.foo.a.comとは一致しません。f*.comfoo.comと一致しますが、bar.comとは一致しません。

RFC 2459によると：

• 「*」ワイルドカード文字は、証明書の左端の名前コンポーネントとして使用できます。たとえば、*.example.coma.example.com、foo.example.comなどと一致しますが、example.comとは一致しません。

example.com、www.example.com、foo.example.comで動作する証明書が必要な場合、「example.com」と「* .example.com」（またはexample .comおよび一致する必要のある他のすべての名前）。

正しいです。ルートドメインは、検証するための代替名である必要があります。

これまでに使用したすべてのSSLプロバイダーは、ワイルドカードSSL証明書にサブジェクトの別名としてルートドメインを自動的に追加するため、DOMAIN.COMは* .DOMAIN.COMワイルドカード証明書に対して自動的に機能します。

ワイルドカード証明書は、*。example.comに対して理想的に生成され ます。サブドメインとドメインをこの証明書で保護するには、これらのドメインを指すサーバーに同じ証明書をインストールするだけです。

たとえば、*。example.comのワイルドカード証明書がありますone.example.com-サーバー1 example.com-サーバー2

サーバー1とサーバー2にこの証明書をインストールする必要があります。