Wildcard-SSL-Zertifikat für Second-Level-Subdomain

Wildcard-SSL-Zertifikat für Second-Level-Subdomain

Ich würde gerne wissen, ob irgendwelche Zertifikate einen doppelten Platzhalter wie unterstützen *.*.example.com? Ich habe gerade mit meinem derzeitigen SSL-Anbieter (register.com) telefoniert und die Dame dort meinte, dass sie so etwas nicht anbieten und dass sie es sowieso nicht für möglich gehalten hätte.

Kann mir jemand sagen, ob dies möglich ist und ob Browser dies unterstützen?

Antwort1

RFC2818Zustände:

Wenn mehr als eine Identität eines bestimmten Typs im Zertifikat vorhanden ist (z. B. mehr als ein dNSName-Name, wird eine Übereinstimmung in einem beliebigen der Sätze als akzeptabel angesehen.) Namen können das Platzhalterzeichen * enthalten, das als Übereinstimmung mit jedem einzelnen Domänennamenbestandteil oder -bestandteilfragment angesehen wird. Beispielsweise entspricht *.a.com foo.a.com, aber nicht bar.foo.a.com. f*.com entspricht foo.com, aber nicht bar.com.

Internet Explorer verhält sich so, wie es in der RFC beschrieben ist, wobei jede Ebene ihr eigenes Wildcard-Zertifikat benötigt. Firefox ist mit einem einzelnen *.domain.com zufrieden, wobei * mit allem vor domain.com übereinstimmt, einschließlich other.levels.domain.com, verarbeitet aber auch die Typen *.*.domain.com.

Um also Ihre Frage zu beantworten: Es ist möglich und wird von Browsern unterstützt.

Antwort2

Alle Antworten hier sind veraltet oder nicht ganz korrekt, ohne Berücksichtigung des RFC 6125 aus dem Jahr 2011.

Entsprechend derRFC 6125ist im äußersten linken Fragment nur ein einziges Platzhalterzeichen zulässig.

Gültig:

*.sub.domain.tld
*.domain.tld

Ungültig:

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

Ein Fragment, auch „Label“ genannt, ist eine geschlossene Komponente, zB: *.com(2 Labels) passt nicht zu label.label.com(3 Labels) – dies wurde bereits in RFC 2818 definiert.

Vor 2011 war die Einstellung in RFC 2818 nicht ganz klar:

Die Spezifikationen für vorhandene Anwendungstechnologien sind hinsichtlich der zulässigen Position des Platzhalterzeichens nicht eindeutig oder einheitlich.

Dies hat sich mit RFC 6125 von 2011 (6.4.3) geändert:

Der Client SOLLTE NICHT versuchen, einen angezeigten Bezeichner abzugleichen, bei dem das Platzhalterzeichen aus einer anderen Bezeichnung als der ganz linken Bezeichnung besteht (z. B. keine Übereinstimmung mit bar.*.example.net).

Antwort3

Wenn ein Wildcard-SSL-Zertifikat für *.domain.com ausgestellt wird, können Sie eine unbegrenzte Anzahl Ihrer Subdomains über die Hauptdomain sichern.

Zum Beispiel:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub*.domain.com

Wenn das Wildcard-SSL-Zertifikat auf *.sub1.domain.com ausgestellt ist, können Sie in diesem Fall alle Subdomains der zweiten Ebene sichern, die unter sub1.domain.com aufgeführt sind.

Zum Beispiel:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***.sub1.domain.com

Wenn Sie eine begrenzte Anzahl von Subdomänen und Second-Level-Domänen sichern möchten, können Sie Multidomänen-SSL wählen, das bis zu 100 Domänennamen mit einem einzigen Zertifikat sichern kann.

Zum Beispiel:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Sie sollten Ihre tatsächlichen Anforderungen kennen, um ein SSL-Zertifikat auszuwählen.

Antwort4

Ich habe gerade ein bisschen darüber recherchiert, da ich die gleichen Anforderungen an die Sicherung von Sub-Subdomains habe und bin auf eineLösungvon DigiCert.

yourdomain.comDieses Zertifikat besagt, dass , *.yourdomain.com, *.*.yourdomain.comusw. unterstützt werden .

Derzeit ist es noch recht teuer, es besteht jedoch Hoffnung, dass auch andere Anbieter ähnliche Zertifikate anbieten und die Preise senken.

verwandte Informationen