我想知道是否有憑證支援雙通配符,例如*.*.example.com?我剛剛與我目前的 SSL 提供者 (register.com) 通了電話,那裡的女孩說他們不提供類似的服務,而且她認為無論如何這是不可能的。
誰能告訴我這是否可行,以及瀏覽器是否支援這一點?
答案1
RFC2818狀態:
如果憑證中存在給定類型的多個身分(例如,多個 dNSName 名稱,則任何一組中的匹配都被認為是可接受的。)名稱可以包含通配符 *,它被認為與任何單一網域元件或組件片段。例如,*.a.com 符合 foo.a.com,但不符合 bar.foo.a.com。 f*.com 與 foo.com 匹配,但與 bar.com 不符。
Internet Explorer 會依照 RFC 概述的方式執行,其中每個層級都需要自己的通配符憑證。 Firefox 對單一 *.domain.com 很滿意,其中 * 匹配 domain.com 前面的任何內容,包括 other.levels.domain.com,但也可以處理 *.*.domain.com 類型。
所以,回答你的問題:這是可能的,並且受瀏覽器支援。
答案2
這裡的所有答案都已過時或不完全正確,不考慮 2011 年的 RFC 6125。
根據RFC 6125,最左邊的片段只允許有一個通配符。
有效的:
*.sub.domain.tld
*.domain.tld
無效的:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
片段,也稱為“標籤”,是一個封閉組件,例如:*.com(2 個標籤)與(3 個標籤)不匹配label.label.com- 這已經在 RFC 2818 中定義。
2011 年之前,RFC 2818 中的設定並不完全明確:
現有的應用技術規範對於通配符允許的位置並不明確或一致。
自 2011 年起,RFC 6125 (6.4.3) 對此進行了更改:
客戶端不應嘗試匹配所呈現的標識符,其中通配符包含除最左側標籤之外的標籤(例如,不匹配 bar.*.example.net)。
答案3
當為 *.domain.com 頒發通配符 SSL 憑證時,您可以在主網域上保護無限數量的子網域。
例如:
- sub1.domain.com
- sub2.domain.com
- sub3.domain.com
- 子*.domain.com
如果通配符 SSL 憑證是在 *.sub1.domain.com 上頒發的,在這種情況下,您可以保護 sub1.domain.com 下列出的所有二級子網域
例如:
- aaa.sub1.domain.com
- bbb.sub1.domain.com
- ccc.sub1.domain.com
- ***.sub1.domain.com
如果您想要保護有限數量的子網域和二級網域,那麼您可以選擇多域 SSL,它可以使用單一憑證保護最多 100 個網域。
例如:
- 域名.com
- sub1.domain.com
- aaa.sub2.domain.com
- 網域2.net
- 域名3.org
您應該了解自己的實際要求來選擇 SSL 憑證。
答案4
我只是對此進行了一些研究,因為我也有相同的要求來保護子子域,並且遇到了一個解決方案來自 DigiCert。
該證書表示它將支援yourdomain.com、*.yourdomain.com、*.*.yourdomain.com等等。
目前它的價格相當昂貴,但希望其他提供者能夠開始提供類似的證書並降低價格。