のような二重ワイルドカードをサポートする証明書があるかどうか知りたいです*.*.example.com。ちょうど現在使用している SSL プロバイダー (register.com) に電話で問い合わせたところ、担当者はそのようなサービスは提供しておらず、そもそも不可能だと思うと言いました。
これが可能かどうか、またブラウザがこれをサポートしているかどうか、誰か教えていただけますか?
答え1
RFC2818状態:
証明書に特定のタイプの ID が複数存在する場合 (たとえば、dNSName 名が複数ある場合、セットのいずれか 1 つに一致していれば許容されると見なされます)、名前にはワイルドカード文字 * を含めることができます。これは、単一のドメイン名コンポーネントまたはコンポーネント フラグメントに一致すると見なされます。たとえば、*.a.com は foo.a.com に一致しますが、bar.foo.a.com には一致しません。f*.com は foo.com に一致しますが、bar.com には一致しません。
Internet Explorer は、RFC で概説されている方法で動作し、各レベルには独自のワイルドカード証明書が必要です。Firefox は、* が domain.com の前にある任意のもの (other.levels.domain.com を含む) に一致する単一の *.domain.com で問題ありませんが、*.*.domain.com タイプも処理します。
したがって、あなたの質問に答えると、それは可能であり、ブラウザによってサポートされています。
答え2
ここでの回答はすべて古くなっているか、完全に正確ではありません。2011 年の RFC 6125 を考慮していません。
によるRFC 6125最も左のフラグメントでは、ワイルドカードを 1 つだけ使用できます。
有効:
*.sub.domain.tld
*.domain.tld
無効:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
フラグメント、または「ラベル」とも呼ばれるフラグメントは、閉じたコンポーネントです。たとえば、*.com(2 つのラベル) は (3 つのラベル) と一致しませんlabel.label.com。これは RFC 2818 ですでに定義されています。
2011 年以前の RFC 2818 では設定が完全に明確ではありませんでした。
既存のアプリケーション テクノロジの仕様では、ワイルドカード文字の許容される位置が明確ではなく、一貫性もありません。
これは 2011 年の RFC 6125 (6.4.3) で変更されました。
クライアントは、ワイルドカード文字が左端のラベル以外のラベルを構成する、提示された識別子との一致を試みるべきではありません (例: bar.*.example.net とは一致しません)。
答え3
*.domain.com に対してワイルドカード SSL 証明書が発行されると、メイン ドメイン上の無制限の数のサブドメインを保護できます。
例えば:
- サブ1.ドメイン.com
- サブ2.ドメイン.com
- サブ3.ドメイン.com
- サブ*.domain.com
ワイルドカードSSL証明書が*.sub1.domain.comで発行された場合、sub1.domain.comの下にリストされているすべての第2レベルのサブドメインを保護できます。
例えば:
- aaa.sub1.domain.com
- bbb.sub1.domain.com
- ccc.sub1.domain.com
- ***.sub1.domain.com
限られた数のサブドメインと第 2 レベル ドメインを保護したい場合は、1 つの証明書で最大 100 個のドメイン名を保護できるマルチドメイン SSL を選択できます。
例えば:
- ドメイン.com
- サブ1.ドメイン.com
- aaa.sub2.domain.com
- ドメイン2.net
- ドメイン3.org
SSL 証明書を選択するには、実際の要件を知っておく必要があります。
答え4
私もサブサブドメインを保護するという同じ要件を持っているので、これについて少し調査していたところ、解決DigiCert から。
この証明書にはyourdomain.com、、、*.yourdomain.comなどをサポートすると記載されてい*.*.yourdomain.comます。
現時点ではかなり高価ですが、他のプロバイダーも同様の証明書を提供し始め、価格が下がることを期待しています。