ワイルドカードSSLの一般名-何とでも呼べますか?


34

ワイルドカードSSL証明書には、SSL証明書を適用する必要があるサイトのドメイン名を含む共通名が必ず必要かどうか疑問に思っていました。

たとえば、次の場合:

ドメイン名:testdomain.com

サブサイト:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

ワイルドカード証明書には、共通の名前が必要*.testdomain.comですか?


serverfault.comは、この質問に適した場所です。

回答:


38

はい、ワイルドカード証明書の場合、共通名は* .yourdomain.comである必要があります。

基本的に、共通名は証明書がどのドメインに適しているかを示すものなので、実際のドメインを指定する必要があります。

明確化:これは、サイトのドメイン名「を含んで」べきではない、それがなければならないことのサイトのドメイン。私はあなたの質問に違いはないと思います、ドメインがどうあるべきか、または証明書が何のために使われるかについての誤解がある場合に、明確にしたかっただけです。


4

実際には、証明書dnsNamesubjectAltNameセクションのエントリを使用して、のCN部分ではなくFQDNを指定する必要がありますsubjectsubjectRFC 2818が2000年に公開されて以来、この目的でを使用することは推奨されていません。セクション3.1を引用:

dNSName型のsubjectAltName拡張が存在する場合、それをIDとして使用する必要があります。それ以外の場合、証明書のSubjectフィールドの(最も具体的な)Common Nameフィールドを使用する必要があります。共通名の使用は既存の慣習ですが、廃止されており、代わりにdNSNameを使用することを証明機関に推奨しています。

の内容がsubjectサーバー証明書検証のコンテキストに関連する唯一のケースdnsNameは、subjectAltName場合です。このケースは、執筆時点で過去17年間廃止されています。

RFC 6125のセクション7.2に示されているように、ワイルドカード証明書の使用は非推奨です

このドキュメントは、ワイルドカード文字「*」が提示された識別子に含まれるべきではないが、アプリケーションクライアントによってチェックされるかもしれないと述べています(主に配備されたインフラストラクチャとの後方互換性のために)。

複数のサービスに同じ秘密鍵を使用することは、通常、悪い習慣と見なされます。サービスの1つが危険にさらされると、他のサービスからの通信が危険にさらされるため、すべてのサービスのキー(および証明書)を交換する必要があります。

この問題に関する情報源として、RFC 6125をお勧めします。


「ワイルドカード証明書もそうです」:詳細を教えてください。dnsNameワイルドカードドメインを含めることができます。また、subjectその場合はどうあるべきでしょうか?
-WoJ

RFC 6125セクション1.5および7.2をご覧ください。subjectAltNameにが少なくとも1つ含まれている限りdnsName、の内容subjectは証明書検証のコンテキストとは無関係です。
エルワンルグラン

@WoJ回答を編集しました。これがすべて明確になったことを願っています。
エルワンルグラン

3

はい、ワイルドカードSSL証明書は要件に応じた最適なソリューションです。ワイルドカード証明書を使用すると、訪問者の情報を保護できます。あなたのウェブサイトのどのページが提出されるかは関係ありません。ワイルドカード証明書は、同じドメイン名を共有するサブドメインを無制限に保護します。

すべてのサブドメインとサーバーに同じワイルドカード証明書をインストールすると、組み込みのリスクが伝わります。1つのサーバーまたはサブドメインが危険にさらされると、すべてのサブドメインも同様に危険にさらされる可能性があります。あなたのウェブサイトがすべての外部および内部の圧力からの複数レベルの保護で保護されていることを確認してください。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.