ssl-certificate – ¿Debería un certificado SSL comodín proteger tanto el dominio raíz como los subdominios?

Pregunta:

Hago esta pregunta porque Comodo me está diciendo que un certificado comodín para * .example.com también protegerá el dominio raíz example.com. Entonces, con un solo certificado, tanto my.example.com como example.com están protegidos sin previo aviso desde un navegador.

Sin embargo, este no es el caso del certificado que me han proporcionado. Mis subdominios están bien asegurados y no dan un error, pero el dominio raíz arroja un error en el navegador, diciendo que la identidad no se puede verificar.

Cuando comparo este certificado con otros escenarios similares, veo que en los escenarios que funcionan sin errores, el nombre alternativo del sujeto (SAN) enumera * .example.com y example.com, mientras que el certificado reciente de Comodo solo enumera *. example.com como el nombre común y NO example.com como el nombre alternativo del sujeto.

¿Alguien puede confirmar / aclarar que el dominio raíz debe incluirse en los detalles de la SAN si también se desea proteger correctamente?

Cuando leo esto: http://www.digicert.com/subject-alternative-name.htm Parece que la SAN debe enumerar ambos para que funcione como lo necesito. Cual es tu experiencia?

Muchas gracias.

Respuesta:

Existe cierta inconsistencia entre las implementaciones de SSL sobre cómo coinciden con los comodines, sin embargo, necesitará la raíz como un nombre alternativo para que funcione con la mayoría de los clientes.

Para obtener un *.example.com ,

  • a.example.com debería pasar
  • www.example.com debería aprobar
  • example.com no debería pasar
  • abexample.com puede pasar dependiendo de la implementación (pero probablemente no).

Esencialmente, los estándares dicen que * debe coincidir con 1 o más caracteres que no sean puntos, pero algunas implementaciones permiten un punto.

La respuesta canónica debe estar en RFC 2818 (HTTP sobre TLS) :

La coincidencia se realiza utilizando las reglas de coincidencia especificadas por [RFC2459]. Si en el certificado hay más de una identidad de un tipo determinado (p. Ej., Más de un nombre dNSName, se considera aceptable una coincidencia en cualquiera del conjunto). Los nombres pueden contener el carácter comodín * que se considera que coincide con cualquier componente de nombre de dominio o fragmento de componente. Por ejemplo, *.a.com coincide con foo.a.com pero no con bar.foo.a.com. f*.com coincide con foo.com pero no con bar.com.

RFC 2459 dice:

  • PUEDE usarse un carácter comodín "*" como el componente de nombre más a la izquierda en el certificado. Por ejemplo, *.example.com coincidiría con a.example.com, foo.example.com, etc. pero no coincidiría con example.com.

Si necesita un certificado para que funcione para example.com, www.example.com y foo.example.com, necesita un certificado con subjectAltNames para que tenga "example.com" y "* .example.com" (o example .com y todos los demás nombres que pueda necesitar para hacer coincidir).

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım