web-dev-qa-db-ja.com

特定のSSL証明書で保護できるのはどのWebサイトですか?

1つのSSL証明書で保護できるWebサイト(URL)を教えてください。

たとえば、www.security.hsbc.co.ukにはSSL証明書があります。この証明書を使用して他のWebサイト(URL)を保護できますか?これから分岐する何かかもしれませんか?

9
Mandingo

Webブラウザーで証明書を表示すると、証明書のcertificate subject alternative name値を見つけることができるはずです。これにより、証明書のcommon nameに示されているサイトに加えて、この証明書を使用して保護できるすべてのサイトのリストが表示されます。 * .hsbc.co.ukや* .security.hsbc.co.ukなど、一部の名前でワイルドカード値が使用されている場合があります。

例として、このページを保護している証明書を見ると、Stack Exchangeがすべてのサイトに1つの証明書を使用していることがわかります。

Firefox

SANs for Stack Exchange's certificate

Chrome

enter image description here

現在使用しているサイトhttps://security.stackexchange.comは、ワイルドカードSAN *.stackexchange.com

これらのフィールドにリストされているサイトがこの証明書を使用するには、サイトが証明書の公開鍵に対応する秘密鍵を必要とすることに注意してください。

ブラウザーが警告なしにサイトにSSL/TLS接続を行うためには、これらの条件が満たされている必要があります。

31
mti2935

サイトが特定のX.509証明書(TLS/SSLで使用される証明書のタイプ)を正常に使用するには、いくつかの特定の要件を満たす必要があります。

  • 証明書の正しい秘密鍵が必要です。これがなければ、サーバーは通信を正しく暗号化できないため、他に何も問題になりません。
  • 証明書に署名した認証局は、ユーザーのブラウザーによって信頼されている必要があります(ブラウザーの開発者/ベンダーが本質的に信頼するか、ユーザー(またはシステムを設定した人)がブラウザーを信頼するように構成したため)。これがないと、ブラウザ自体は証明書が安全であることを信頼しません。
  • 証明書の発行先の共通名、または証明書に記載されているサブジェクト代替名のいずれかに一致するドメイン名を介してアクセスする必要があります。これがないと、ブラウザーは証明書を信頼できますが、そのサイトで使用することはできません。一部のブラウザは、共通名をまったくチェックせず、サブジェクト代替名の一致を必要とします。
  • 証明書はまだ有効である必要があります。つまり、クライアントシステムは、日付と時刻を、証明書に記載されている発行日より後で、証明書に記載されている有効期限より前であると見なす必要があります。ブラウザーとサイトによっては、この部分に対して他のチェックも行われる場合があります(たとえば、CAからの証明書失効リストをチェックしたり、OCSPを介して証明書を検証したりできます)。この要件を満たさないことは、2番目の要件を満たさないことと実質的に同じです。

証明書の4つの要件すべてを満たすWebサイトであれば、その証明書を使用できます。一部のブラウザは、最初の要件以外の上記の要件のいずれかが満たされない場合、サイトへのアクセスをブロックする代わりにユーザーに警告する場合がありますが、これはHSTSが標準になった結果として一般的になりつつあります(サイトが要求した場合) HSTSの場合、ブラウザーは、4つの要件すべてを満たさない証明書なしですべてのアクセスをブロックする必要があります)。

10
  1. ワイルドカード証明書は、ドメインとそのすべてのサブドメイン(*.domainname.example.com
  2. マルチドメイン証明書を使用すると、1つの証明書(domainname1.example.comdomainname2.example.com、...)
2
Refineo