Sollte ein Wildcard-SSL-Zertifikat sowohl die Root-Domain als auch die Sub-Domains sichern?

81

Ich stelle diese Frage, weil Comodo mir mitteilt, dass ein Wildcard-Zertifikat für * .example.com auch die Root-Domain example.com schützt. Mit einem einzigen Zertifikat werden sowohl my.example.com als auch example.com ohne Warnung von einem Browser gesichert.

Dies ist jedoch bei dem von mir bereitgestellten Zertifikat nicht der Fall. Meine Sub-Domains sind gut geschützt und geben keinen Fehler aus, aber die Root-Domain gibt einen Fehler im Browser aus, der besagt, dass die Identität nicht überprüft werden kann.

Wenn ich dieses Zertifikat mit anderen ähnlichen Szenarien vergleiche, sehe ich, dass in den fehlerfrei funktionierenden Szenarien der alternative Antragstellername (Subject Alternative Name, SAN) sowohl * .example.com als auch example.com auflistet, während das aktuelle Zertifikat von Comodo nur * auflistet. example.com als gebräuchlicher Name und NOT example.com als alternativer Antragstellername.

Kann jemand bestätigen / klarstellen, dass die Stammdomäne in den SAN-Details aufgeführt werden sollte, wenn sie auch korrekt gesichert werden soll?

Wenn ich dies lese: http://www.digicert.com/subject-alternative-name.htm Es scheint, dass das SAN beide auflisten muss, um zu funktionieren, wie ich es brauche. Was ist deine Erfahrung?

Vielen Dank.

Josswinn
quelle

Antworten:

72

Es gibt einige Inkonsistenzen zwischen den SSL-Implementierungen hinsichtlich der Übereinstimmung mit Platzhaltern. Für die meisten Clients benötigen Sie jedoch den Stammnamen als alternativen Namen.

Für ein *.example.comZertifikat,

  • a.example.com sollte passieren
  • www.example.com sollte passieren
  • example.com sollte nicht passieren
  • a.b.example.com kann je nach Implementierung passieren (aber wahrscheinlich nicht).

Im Wesentlichen besagen die Standards, dass *1 oder mehr Nicht-Punkt-Zeichen übereinstimmen sollten, aber einige Implementierungen erlauben einen Punkt.

Die kanonische Antwort sollte in RFC 2818 (HTTP über TLS) sein :

Der Abgleich erfolgt anhand der in [RFC2459] angegebenen Abgleichsregeln. Wenn mehr als eine Identität eines bestimmten Typs im Zertifikat vorhanden ist (z. B. mehr als ein dNSName-Name), wird eine Übereinstimmung in einem der Sätze als akzeptabel angesehen. Namen können das Platzhalterzeichen * enthalten, das als übereinstimmend mit einem einzelnen angesehen wird Domänennamenskomponente oder Komponentenfragment. ZB *.a.comentspricht foo.a.com aber nicht bar.foo.a.com. f*.comstimmt mit foo.com überein, aber nicht mit bar.com.

RFC 2459 sagt:

  • Ein "*" Platzhalterzeichen KANN als die am weitesten links stehende Namenskomponente im Zertifikat verwendet werden. Zum Beispiel *.example.comwürde mit a.example.com, foo.example.com usw. übereinstimmen, würde aber nicht mit example.com übereinstimmen.

Wenn Sie ein Zertifikat für example.com, www.example.com und foo.example.com benötigen, benötigen Sie ein Zertifikat mit subjectAltNames, sodass Sie "example.com" und "* .example.com" (oder ein Beispiel) haben .com und alle anderen Namen, mit denen Sie möglicherweise übereinstimmen müssen).

freiheit
quelle
13

Sie haben Recht, die Root-Domain muss ein alternativer Name sein, damit sie validiert werden kann.

Shane Madden
quelle
6

Jeder SSL-Anbieter, den ich jemals verwendet habe, fügt die Stammdomäne automatisch als alternativen Antragstellernamen zu einem Wildcard-SSL-Zertifikat hinzu, sodass DOMAIN.COM automatisch für ein Wildcard-Zertifikat * .DOMAIN.COM funktioniert.

user2001798
quelle
8
Dies gilt nicht für AWS Certificate Manager ab dem 20.09.2017.
pho3nixf1re
Es gibt keine Stammdomäne für ein SAN-Zertifikat, die mehrere Stammdomänen sichern kann.
Jez
-3

Platzhalterzertifikate werden idealerweise für * .example.com generiert. Um Ihre Subdomains und Domains mit diesem Zertifikat zu sichern, müssen Sie dasselbe Zertifikat nur auf Servern installieren, die auf diese Domains verweisen.

Zum Beispiel haben Sie ein Wildcard-Zertifikat für * .example.com one.example.com - Server 1 example.com - Server 2

Sie müssen dieses Zertifikat auf Server 1 und Server 2 installieren.

Facherbsen
quelle