Я хотел бы узнать, поддерживают ли какие-либо сертификаты двойной подстановочный знак, например *.*.example.com? Я только что говорил по телефону с моим текущим поставщиком SSL (register.com), и девушка там сказала, что они ничего подобного не предлагают и что она в любом случае не думает, что это возможно.
Может ли кто-нибудь сказать, возможно ли это и поддерживают ли это браузеры?
решение1
RFC2818состояния:
Если в сертификате присутствует более одного идентификатора заданного типа (например, более одного имени dNSName, совпадение в любом из набора считается приемлемым.) Имена могут содержать подстановочный символ *, который считается соответствующим любому отдельному компоненту доменного имени или фрагменту компонента. Например, *.a.com соответствует foo.a.com, но не bar.foo.a.com. f*.com соответствует foo.com, но не bar.com.
Internet Explorer ведет себя так, как описано в RFC, где каждому уровню нужен свой подстановочный сертификат. Firefox удовлетворен одним *.domain.com, где * соответствует всему, что находится перед domain.com, включая other.levels.domain.com, но также будет обрабатывать типы *.*.domain.com.
Итак, отвечая на ваш вопрос: это возможно и поддерживается браузерами.
решение2
Все ответы здесь устарели или не совсем верны, если не считать RFC 6125 от 2011 года.
СогласноRFC6125в самом левом фрагменте допускается только один подстановочный знак.
Действительный:
*.sub.domain.tld
*.domain.tld
Неверный:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
Фрагмент, также называемый «меткой», представляет собой закрытый компонент, например: *.com(2 метки) не соответствуют label.label.com(3 меткам) — это уже было определено в RFC 2818.
До 2011 года в RFC 2818 настройка была не совсем ясна:
Спецификации существующих прикладных технологий не являются ясными и последовательными в отношении допустимого расположения подстановочного символа.
Это изменилось с появлением RFC 6125 от 2011 года (6.4.3):
Клиенту НЕ СЛЕДУЕТ пытаться сопоставить представленный идентификатор, в котором подстановочный символ представляет собой метку, отличную от самой левой метки (например, не сопоставлять bar.*.example.net).
решение3
При выпуске Wildcard SSL-сертификата для *.domain.com вы можете защитить неограниченное количество поддоменов поверх основного домена.
Например:
- sub1.домен.com
- sub2.домен.com
- sub3.домен.com
- sub*.домен.com
Если сертификат Wildcard SSL выпущен на *.sub1.domain.com, в этом случае вы можете защитить все поддомены второго уровня, которые перечислены под sub1.domain.com.
Например:
- aaa.sub1.domain.com
- bbb.sub1.domain.com
- ccc.sub1.domain.com
- ***.sub1.domain.com
Если вы хотите защитить ограниченное количество поддоменов и доменов второго уровня, то вы можете выбрать многодоменный SSL, который может защитить до 100 доменных имен с помощью одного сертификата.
Например:
- домен.com
- sub1.домен.com
- aaa.sub2.domain.com
- домен2.нет
- домен3.org
Чтобы выбрать SSL-сертификат, вам следует знать свои реальные требования.
решение4
Я просто проводил небольшое исследование по этому вопросу, поскольку у меня есть те же требования к защите поддоменов, и наткнулся нарешениеот DigiCert.
В этом сертификате указано, что он будет поддерживать yourdomain.com, *.yourdomain.com, *.*.yourdomain.comи так далее.
В настоящее время это довольно дорого, но есть надежда, что другие поставщики начнут предлагать аналогичные сертификаты и снизят цены.