Gostaria de saber se algum certificado suporta um curinga duplo como *.*.example.com? Acabei de falar ao telefone com meu provedor SSL atual (register.com) e a garota disse que eles não oferecem nada parecido e que ela não achava que fosse possível de qualquer maneira.
Alguém pode me dizer se isso é possível e se os navegadores suportam isso?
Responder1
RFC2818afirma:
Se mais de uma identidade de um determinado tipo estiver presente no certificado (por exemplo, mais de um nome dNSName, uma correspondência em qualquer um do conjunto é considerada aceitável). Os nomes podem conter o caractere curinga * que é considerado correspondente a qualquer um único componente de nome de domínio ou fragmento de componente. Por exemplo, *.a.com corresponde a foo.a.com, mas não a bar.foo.a.com. f*.com corresponde a foo.com, mas não a bar.com.
O Internet Explorer se comporta da maneira descrita pela RFC, onde cada nível precisa de seu próprio certificado curinga. O Firefox está satisfeito com um único *.domain.com onde * corresponde a qualquer coisa na frente de domain.com, incluindo other.levels.domain.com, mas também irá lidar com os tipos *.*.domain.com.
Então, para responder à sua pergunta: é possível e suportado pelos navegadores.
Responder2
Todas as respostas aqui estão desatualizadas ou totalmente incorretas, sem considerar a RFC 6125 de 2011.
De acordo comRFC 6125, apenas um curinga é permitido no fragmento mais à esquerda.
Válido:
*.sub.domain.tld
*.domain.tld
Inválido:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
Um fragmento, ou também chamado de "rótulo", é um componente fechado, por exemplo: *.com(2 rótulos) não corresponde a label.label.com(3 rótulos) - isso já foi definido na RFC 2818.
Antes de 2011, na RFC 2818, a configuração não era totalmente clara:
As especificações para tecnologias de aplicação existentes não são claras ou consistentes quanto à localização permitida do caractere curinga.
Isso mudou com o RFC 6125 de 2011 (6.4.3):
O cliente NÃO DEVE tentar corresponder um identificador apresentado no qual o caractere curinga compreende um rótulo diferente do rótulo mais à esquerda (por exemplo, não corresponde a bar.*.example.net).
Responder3
Quando o certificado Wildcard SSL é emitido para *.domain.com, você pode proteger seu número ilimitado de subdomínios no domínio principal.
Por exemplo:
- sub1.domínio.com
- sub2.domínio.com
- sub3.domínio.com
- sub*.domínio.com
Se o certificado Wildcard SSL for emitido em *.sub1.domain.com, nesse caso você poderá proteger todos os subdomínios de segundo nível listados em sub1.domain.com
Por exemplo:
- aaa.sub1.domain.com
- bbb.sub1.domain.com
- ccc.sub1.domínio.com
- ***.sub1.domínio.com
Se você deseja proteger um número limitado de subdomínios e domínios de segundo nível, você pode escolher SSL de vários domínios que pode proteger até 100 nomes de domínio com um único certificado.
Por exemplo:
- domínio.com
- sub1.domínio.com
- aaa.sub2.domain.com
- domínio2.net
- domínio3.org
Você deve conhecer seus requisitos reais para escolher um certificado SSL.
Responder4
Eu estava pesquisando sobre isso, pois também tenho os mesmos requisitos para proteger subsubdomínios e me deparei com umsoluçãoda DigiCert.
Este certificado diz que suportará yourdomain.com, e *.yourdomain.comassim *.*.yourdomain.compor diante.
Atualmente é bastante caro, mas espera-se que outros fornecedores comecem a oferecer certificados semelhantes e reduzam os preços.