二级子域通配符SSL证书

Question

我想知道是否有任何证书支持双通配符*.*.example.com？我刚刚与我当前的 SSL 提供商 (register.com) 通了电话，那里的女孩说他们不提供类似的服务，而且她认为无论如何都不可能。

谁能告诉我这是否可行，以及浏览器是否支持？

Answer 1

RFC2818规定：

如果证书中存在多个给定类型的身份（例如，多个 dNSName 名称，任何一个集合中的匹配都被认为是可接受的。）名称可以包含通配符 *，它被认为与任何单个域名组件或组件片段。例如，*.a.com 匹配 foo.a.com 但不匹配 bar.foo.a.com。f*.com 匹配 foo.com 但不匹配 bar.com。

Internet Explorer 以 RFC 概述的方式运行，其中每个级别都需要自己的通配符证书。Firefox 对单个 *.domain.com 感到满意，其中 * 匹配 domain.com 前面的任何内容，包括 other.levels.domain.com，但也会处理 *.*.domain.com 类型。

所以，回答你的问题：这是可能的，并且受浏览器支持。

Answer 2

这里的所有答案都已过时或不完全正确，不考虑 2011 年的 RFC 6125。

根据RFC 6125，在最左边的片段中只允许使用单个通配符。

有效的：

*.sub.domain.tld
*.domain.tld

无效的：

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

片段，或也称为“标签”，是一个封闭的组件，例如：*.com（2 个标签）不匹配label.label.com（3 个标签） - 这已在 RFC 2818 中定义。

在 2011 年之前的 RFC 2818 中，设置并不完全清楚：

现有应用技术的规范对于通配符的允许位置并不明确或一致。

从 2011 (6.4.3) 开始，RFC 6125 已经改变了这一点：

客户端不应该尝试匹配呈现的标识符，其中通配符包含除最左侧标签之外的标签（例如，不匹配 bar.*.example.net）。

Answer 3

当为 *.domain.com 颁发通配符 SSL 证书时，您可以通过主域保护无限数量的子域。

例如：

• sub1.domain.com
• sub2.domain.com
• sub3.domain.com
• 子*.domain.com

如果通配符 SSL 证书是在 *.sub1.domain.com 上颁发的，在这种情况下，您可以保护 sub1.domain.com 下列出的所有二级子域

例如：

• aaa.sub1.domain.com
• bbb.sub1.domain.com
• ccc.sub1.domain.com
• ***.sub1.domain.com

如果您想保护数量有限的子域和二级域，那么您可以选择多域 SSL，单个证书最多可以保护 100 个域名。

例如：

• 域名.com
• sub1.domain.com
• aaa.sub2.domain.com
• 域名2.net
• 域名3.org

您应该了解选择 SSL 证书的实际要求。

Answer 4

只是为了确认 FF 和 IE 8 不会接受表单中的证书，*.*.example.com尽管在技术上可以创建它们。

Answer 5

这可能值得对当前浏览器版本进行新一轮测试。

我个人的快速检查结果是：Firefox 20.0.1 似乎仍然不支持这一点。表明：

此证书仅对 *.*.mydomain.com 有效

...在浏览https://svn.project.mydomain.com 时。

浏览器 9.0：

本网站的证书是为另一个地址制作的

笔记：

• 这两个陈述都是由我从德文翻译成英文的。可能我没有使用与英文浏览器版本显示的相同的短语。
• 我使用了自签名证书。这导致浏览器显示额外的警告语句。我假设上面的报价也会与受信任的证书颁发者一起显示。验证这超出了我的“快速检查”的范围。

Answer 6

我只是对此进行了一些研究，因为我对保护子域也有相同的要求，并且遇到了DigiCert的解决方案。

该证书表示将支持yourdomain.com、*.yourdomain.com、*.*.yourdomain.com等等。

它目前相当昂贵，但希望其他供应商开始提供类似的证书并降低价格。