web-dev-qa-db-ja.com

第2レベルのサブドメインのワイルドカードSSL証明書

証明書が*.*.example.comのような二重ワイルドカードをサポートしているかどうかを知りたい私は現在のSSLプロバイダー(register.com)に電話をかけたばかりで、そこでの女の子はそのようなものは何も提供していないと彼女は言った。

これが可能かどうか、ブラウザがこれをサポートしているかどうかを誰かに教えてもらえますか?

sslsubdomaincertificatewildcard
103
Rob Long

RFC2818 状態:

特定のタイプの複数のIDが証明書に存在する場合(たとえば、複数のdNSName名、セットのいずれかでの一致は受け入れ可能と見なされます。)名前には、任意の単一と一致すると見なされるワイルドカード文字*が含まれる場合があります。ドメイン名コンポーネントまたはコンポーネントフラグメント。たとえば、*。a.comはfoo.a.comと一致しますが、bar.foo.a.comとは一致しません。 f * .comはfoo.comと一致しますが、bar.comとは一致しません。

Internet Explorerは、RFCで概説されている方法で動作します。RFCでは、各レベルに独自のワイルドカード証明書が必要です。 Firefoxは、*が1つの* .domain.comで満足します。*は、other.levels.domain.comを含め、domain.comの前のすべてに一致しますが、*。*。domain.comタイプも処理します。

だから、あなたの質問に答える:それは可能であり、ブラウザーによってサポートされています。

56
Alex

FFおよびIE= 8は、技術的には作成できますが、*.*.example.comの形式の証明書は受け入れません。

20
Rob

ワイルドカードSSL証明書が* .domain.comに対して発行されると、メインドメインを介して無制限の数のサブドメインを保護できます。

例:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

ワイルドカードSSL証明書が* .sub1.domain.comで発行される場合、その場合、sub1.domain.comの下にリストされているすべての第2レベルのサブドメインを保護できます。

例:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***。sub1.domain.com

限られた数のサブドメインとセカンドレベルドメインを保護する場合は、単一の証明書で最大100個のドメイン名を保護できるマルチドメインSSLを選択できます。

例:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

SSL証明書を選択するには、実際の要件を知っている必要があります。

19
Jason Parms

ここでのすべての回答は古くなっているか、完全に正しくなく、2011年のRFC 6125を考慮していません。

RFC 6125 によると、左端のフラグメントではワイルドカードを1つだけ使用できます。

有効:

*.sub.domain.tld
*.domain.tld

無効:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

フラグメント、または「ラベル」とも呼ばれる、は閉じたコンポーネントです。例:*.com(2ラベル)がlabel.label.com(3ラベル)と一致しません-これはRFC 2818ですでに定義されています。

RFC 2818の2011年以前は、設定は完全に明確ではありませんでした。

既存のアプリケーション技術の仕様は、ワイルドカード文字の許容される場所について明確ではなく、一貫性がありません。

これは、2011(6.4.3)からRFC 6125で変更されました。

クライアントは、ワイルドカード文字が左端のラベル以外のラベルを含む提示された識別子との一致を試みてはなりません(たとえば、bar。*。example.netと一致しないでください)。

14
Daniel W.

これは、現在のブラウザーバージョンでの新しいテストの価値があります。

私の個人的なクイックチェックの結果:Firefox 20.0.1はまだこれをサポートしていないようです。それが示している:

この証明書は*。*。mydomain.comに対してのみ有効です

... https://svn.project.mydomain.com にサーフィンするとき。

Internet Explorer 9.0:

このウェブサイトの証明書は別のアドレス用に作成されました

ノート:

  • どちらの文も私がドイツ語から英語に翻訳したものです。おそらく私は英語のブラウザのバージョンが表示するのと同じフレーズを使用していませんでした。
  • 自己署名証明書を使用しました。これにより、ブラウザに追加の警告文が表示されました。上記の引用は、信頼できる証明書発行者でも表示されると思います。これを確認することは、私の「クイックチェック」の範囲外でした。
8
klaus thorn

サブサブドメインをセキュリティで保護するための同じ要件があり、DigiCertから solution に出会ったため、私はこれについていくつかの調査を行っていました。

この証明書は、yourdomain.com*.yourdomain.com*.*.yourdomain.com 等々。

それは現在かなり高価ですが、希望は他のプロバイダーが同様の証明書の提供を開始し、価格を下げることです。

7
F21

私はあなたの質問を調べていませんが、たまたまそれについて何か分読んだことがあります。

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

これは、二重アスタリスクを使用できないことを説明しています

編集する

ウェブサイトがダウンしたり、長すぎて読みにくい場合に備えて、見積もりの​​一部を追加します

1つのワイルドカードでmail.xyz.comとphotos.xyz.comの両方のサブドメインをカバーすることは不可能です。 CAまたは認証局は、単一(*)のSSL証明書のみを提供できます。 。xyz.comのような証明書署名要求を生成して、複数の2番目のレベルのサブドメイングループをカバーすることはできませんでした。

理由

「ダブルワイルドカード」SSL証明書を使用できないのは、プレースホルダーであるアスタリスクが、CAに送信された名前の1つのフィールドしか代理できないためです。結局、CAはすべての情報を検証する必要があり、証明書の変数が多すぎると、証明書が提供するセキュリティと信頼性が低下します。

さらに、これはIT管理者やWebサイトの所有者にとっても重要であり、内部セキュリティは簡単に侵害されることはありません。 SSL証明書を配置した後のセキュリティの問題は、秘密鍵と証明書にアクセスできる誰かが実際に対象となるサブドメインのWebサイトを設定できる内部セキュリティ違反から発生する可能性が高いことに注意してください。 SSL。

2
deadManN

あなたができることは、*。domain.comそして* .www.domain.comまたは* .mail.domain.comのようなものです。本番サイトで*。*。domain.comを見たことがありません。

ワイルドカード(* .domain.com)を取得できますが、これを機能させるには、サブジェクト名の代替エントリとして* .www.domain.comも必要です。これを提供しているのは、ssl.comとdigicertだけです。他にもあるかもしれませんが、よくわかりません。

0
Colt Blake