Posso usar a mesma certificação curinga para *.domain.com e domain.com

Posso usar a mesma certificação curinga para *.domain.com e domain.com

Você pode criar um certificado SSL usando *.domain.com como nome.

Mas, infelizmente, isso não cobrehttps://domínio.com

Existe alguma solução para isso?

Responder1

Parece que me lembro que *.domain.com na verdade viola a RFC de qualquer maneira (acho que apenas o lynx reclama :)

Crie um certificado com domain.com como CN e *.domain.com no subjectAltName:dNSNamecampo de nomes - isso funciona.

Para openssl, adicione isto às extensões:

subjectAltName          = DNS:*.domain.com

Responder2

Infelizmente você não pode fazer isso. As regras para lidar com curingas em subdomínios são semelhantes às regras sobre cookies para subdomínios.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Para lidar com isso você terá que obter dois certificados, um para *.domain.come outro para domain.com. Você precisará usar dois endereços IP separados e dois vhosts lidam com esses domínios separadamente.

Responder3

Os curingas hoje em dia terão *.domain.com e domain.com no campo de nome alternativo do assunto (SAN). Por exemplo, dê uma olhada no certificado SSL curinga do quora.com

Você verá

Nomes alternativos do assunto: *.quora.com, quora.com

Responder4

Não, porque eles são espaços de nomes completamente diferentes. redirecionar o tld também não é uma opção porque SSL é uma criptografia de transporte que precisa decodificar o SSL antes que o Apache, por exemplo, possa ver o host de solicitação para redirecioná-lo.

Também como observação lateral: foo.bar.domain.com também não é válido para um certificado curinga (o firefox da memória é o único que permitirá isso.

informação relacionada