我正在编写SSL证书的验证,我想知道带有通配符的证书名称的格式。来自RFC 2818:
名称可能包含被认为是的通配符* 匹配任何单个域名组件或组件片段。例如。, .a.com匹配foo.a.com但不匹配bar.foo.a.com。 f .com匹配foo.com但不匹配bar.com。
通配符是否可能出现在名称的中间?我也可以用一个名字中的一些来使用它们吗?
hello.*.a.com
*.*.a.com
我知道它可能没有实际用处,但我想知道技术上可行的是什么。
答案 0 :(得分:2)
我建议您使用较新的RFC 6125而不是RFC 2818.此RFC使通配符处理更加清晰。基本上它意味着:
*.example.com但不是www.*.com。这隐含地排除了多个通配符,例如*.*.example.com。*.example.com将匹配www.example.com但不匹配sub.www.example.com。w*.example.com),则不应在IDNA标签内发生。关于今天浏览器中实现的内容。除此之外,您还会发现更多限制,例如顶级和二级没有通配符(即没有*或*.com),有时会有更多限制,例如*.co.uk没有通配符
另请参阅CAB Baseline Requirements,第3.2.2.6节。