我遇到了Oracle Weblogic的兼容性问题以及在主题备用名称(SAN)扩展中使用通配符DNS名称的SSL证书。似乎所有现代浏览器都没有问题,但根据Thawte和Oracle的说法,这是不允许的,而且Weblogic的通配符主机名验证器可能会失败 - 显然是设计出来的:
“从对等证书的SubjectAlternativeNames扩展名获取的DNSNames可能不是通配符”
其他CA似乎完全没有颁发此类证书。
RFC 5280似乎在这种情况下将实现保留在空中:
“最后,包含通配符的主题备用名称的语义(例如,作为一组名称的占位符)不在本规范中解决。具有特定要求的应用程序可以使用这些名称,但它们必须定义语义。“
除了明显的安全考虑外,是否有适用的规则?
PS 现在我真的很感激有标准...
答案 0 :(得分:0)
带有通配符的SAN对HTTPS完全有效。 RFC5280可能不是这个东西的正确的RFC,因为它留下了这些细节。更好地了解RFC6125和RFC2818。
但当然,通配符有限制。您只能在最左边的标签中使用它们(没有*.*.com),它们只匹配一个标签,即*.example.com匹配www.example.com但不匹配www.foo.example.com。