Warum verursacht mein Wildcard-SSL-Zertifikat einen Domain-Mismatch-Fehler in einer Subdomain der zweiten Ebene?

22

Ich habe einen Server https://www.groups.example.com- in FireFox bekomme ich die This Connection is UntrustedMeldung " " und die "technischen Details" sagen

www.groups.example.com uses an invalid security certificate. 
The certificate is only valid for the following names: 
*.example.com, example.com (Error code: ssl_error_bad_cert_domain)

Welche weiteren Informationen muss ich bereitstellen, um dieses Problem zu beheben? Ich erhalte gerade die Bestätigung des Setups, bin mir aber zu 99% sicher, dass es sich um Linux handelt und VHOSTS verwendet. Aktualisiert die Frage, sobald dies bestätigt ist.

Ist es die Tatsache, dass www.groups.example.com zwei Ebenen von Subdomains aufweist?

Emittent ist DigiCert

pee2pee
quelle
2
Ich bin mir sicher, dass die beiden Ebenen der Subdomain das Problem sind, und ich bin mir ziemlich sicher, dass dies eine doppelte Frage ist - aber ich kann im Moment nicht meine Hand auf die ursprüngliche Frage legen.
MadHatter unterstützt Monica
Sie können keine Unterdomäne des Platzhalterteils verwenden und haben eine Übereinstimmung. Sie müssten SANs verwenden. Darüber hinaus mydomain.comist nicht das Gleiche wie example.org.
gparent
2
@gparent Es ist normalerweise eine gute Idee, sich den Bearbeitungsverlauf einer Frage anzuschauen, wenn Sie eine solche Abweichung feststellen. In diesem Fall war ich derjenige, der eine Instanz verpasst hatte, mydomain.comals ich den Posten reparierte. (Wenn Domain - Name munging, soll man immer verwenden , example.[com|org|net]anstatt etwas bilden wie mydomain.comdie tatsächlich existiert aber nicht , gehört in das Plakate.)
Jenny D sagen wieder einzusetzen Monica
1
@JennyD: +1 von mir! Eine andere, wenn ich könnte, wäre es, Domain-Namen zu mungieren (aber noch besser, sie überhaupt nicht zu redigieren).
MadHatter unterstützt Monica
1
@gparent Ich stimme auf jeden Fall zu, dass Leute ihren Domainnamen nicht in erster Linie munge sollten. Aber wenn ja, sollten sie es zumindest richtig machen.
Jenny D sagt Reinstate Monica

Antworten:

47

RFC 2818 in "3.1. Server Identity" besagt, dass

Namen können das Platzhalterzeichen enthalten, das *mit einer einzelnen Domainnamenkomponente oder einem Komponentenfragment übereinstimmt. ZB *.a.compasst foo.a.comaber nicht bar.foo.a.com.

Also ja, es ist die Tatsache, dass es zwei Ebenen von Subdomänen sind, die das Problem sind.

Jenny D sagt Reinstate Monica
quelle
18
Findet es jemand anderen amüsant, dass RFC2818 RFC2606 bei der Auswahl eines Beispieldomänennamens ignoriert ?
MadHatter unterstützt Monica
Interessant ist auch, dass RFC2818 zwar informativ ist , der vorgeschlagene Standard RFC7230 ihn jedoch als Definition bezeichnet.
Esa Jokinen