Platzhalter ssl auf Sub-Subdomain [geschlossen]

146

Wir haben ein Wildcard-SSL-Zertifikat für * .domain.com und eine Website mit sub1.sub2.domain.com

Bei Safari 4.0.4 unter MacOsx wird ein Zertifikatfehler angezeigt (vermutlich aufgrund der Platzhalterinterpretation), bei Safari 4 unter Windows jedoch nicht.

Auch das Verhalten von ie8 ist bestenfalls gemischt, einige ie8 zeigen den Zertifikatfehler nicht an und andere nicht.

Was verursacht dieses seltsame Verhalten in Safari und IE?

porto alet
quelle
4
Ich habe dieses Problem erst nach dem Kauf eines neuen 2-Jahres-Zertifikats erkannt ...
Rafa

Antworten:

192

Ein Wildcard SSL - Zertifikat für * .example.net Übereinstimmen sub.example.net aber nicht sub.sub.example.net .

Aus RFC 2818 :

Der Abgleich erfolgt nach den in RFC2459 angegebenen Abgleichsregeln . Wenn mehr als eine Identität eines bestimmten Typs im Zertifikat vorhanden ist (z. B. mehr als ein dNSName-Name, wird eine Übereinstimmung in einem der Sätze als akzeptabel angesehen.) Namen können das Platzhalterzeichen enthalten, das *als mit einer einzelnen Domäne übereinstimmend angesehen wird Namenskomponente oder Komponentenfragment. ZB *.a.comStreichhölzer foo.a.comaber nicht bar.foo.a.com. f*.comStreichhölzer foo.comaber nicht bar.com.

Elias Torres Arroyo
quelle
5
@ Chris Ich glaube nicht, es gibt verschiedene technische Faktoren, die diese Regel einschränken und die Zertifizierungsstellen dazu zwingen, das Sicherheitszertifikat entsprechend zu entwickeln.
51
@sophie verschiedene technische Faktoren, wie jemand erkannte, dass es rentabler ist, Unendlichkeitszertifikate zu verkaufen, als 1 Zertifikat für jedes einzelne Szenario bis unendlich zuzulassen.
Chris Marisic
3
Unter blackhat.com/presentations/bh-dc-09/Marlinspike/… Folie 91 finden Sie eine mögliche Sicherheitsbedrohung mit Platzhalterzertifikaten. Siehe auch media.blackhat.com/bh-ad-10/Hansen/… Folie 38.
Carl
5
@ user1602478: Was sind diese technischen Faktoren?
Bilderstürmer
5
Können Sie *.*.example.comSubdomains der ersten und zweiten Ebene sichern?
Shane Rowatt
67

Wenn Sie ein Platzhalterzertifikat benötigen, das * .domain.com-Websites enthält und auch mit sub1.sub2.domain.com oder einer anderen Domain wie * .domain2.com zusammenarbeitet, können Sie dies mit einem einzigen Platzhalterzertifikat mit einem sogenannten Betreff lösen Alternative Name (SAN) -Erweiterung für jede der anderen Sub-Sub-Domänen. Ein SAN-Zertifikat gilt nicht nur für mehrere bestimmte Hostnamen, sondern kann auch für Platzhaltereinträge erstellt werden.

Zum Beispiel hätten * .domain.com, sub1.sub2.domain.com und * .domain2.com einen allgemeinen Namen von * .domain.com, dann würden Sie einen alternativen Betreffnamen von * .domain2.com und * Subdomain.com. Es kann von der Zertifizierungsstelle abhängen, wie sie Ihnen das Zertifikat in Rechnung stellen (oder nicht), aber es gibt einige, bei denen dieses Angebot verfügbar ist. Außerdem ist die Unterstützung von SAN im Webbrowserbereich weit verbreitet. Das beste Beispiel für diese Verwendung in der Praxis ist das SSL-Zertifikat von Google. Öffnen Sie Google und sehen Sie sich das SSL-Zertifikat an. Sie werden sehen, dass es für * .google.com, * .youtube.com, * .gmail.com und eine Reihe weiterer Programme funktioniert, in denen sie als alternative Betreffnamen aufgeführt sind.

RobLL
quelle
7
Was sind Beispiele für Zertifizierungsstellen, die solche Zertifikate ausstellen würden?
Arto Bendiken
14
Wäre es also möglich, ein Zertifikat zu erhalten *.DOMAIN.COM, das ein SAN für *.*.DOMAIN.COM(und möglicherweise *.*.*.DOMAIN.COM) zur Abdeckung dieser Sub-Subdomains und Sub-Sub-Subdomains enthält?
Simon East
4
@ SimonEast nicht möglich.
Nick
Dies sollte die akzeptierte Antwort sein. @ Nick, gehen Sie zu sslshopper.com/ssl-checker.html#hostname=google.com und werfen Sie einen Blick auf den SAN-Abschnitt
Nehal J Wani
@NehalJWani wonach soll ich suchen?
Nick
18

Der Platzhalter wird nur auf den ersten Teil (von links) Ihrer Domain angewendet. Sie benötigen also ein Zertifikat für * .sub2.domain.com

Wenn Sie gemeint haben, dass Sie sub1.domain.com und sub2.domain.com haben, sollte es funktionieren.

JAG
quelle