您是否需要为每个子域"级别"提供通配符SSL证书?你想要加密吗?

时间:2017-02-17 06:59:00

标签: ssl-certificate

假设我拥有 example.com ,并购买了适用于 * .example.com 的通配符SSL证书。管理层现在想要创建"伴侣"网站,以便现有网站。因此,如果我有 foo.example.com bar.example.com ,他们可能还希望我创建 meow.foo.example.com woof.bar.example.com

现有的通配符证书适用于子域网站,正如我们一直在做的那样。我刚刚知道它不适用于子域网站。是否可以为 *。*。example.com

创建通配符证书

子子域是否需要额外的通配符证书?因此,如果您想保护X级别,您是否需要X证书?

免责声明:我花了一段时间研究这个,但是在SO上有很多看似矛盾的问题/答案,所以我再次问这个问题感觉不好,但我不想经历购买的麻烦后来发现我弄错了。

3 个答案:

答案 0 :(得分:1)

虽然可能有一些实现允许多个通配符,但实际上答案是否,不允许多个通配符

RFC 6125(section 6.4.3)尝试澄清常见的事实规则,并向核心提取规则是有效的:

  • 如果第一个字符不是*,则执行文字匹配。 (非通配符)。
  • 如果第二个字符不是.,则匹配任何内容(无效的通配符)
  • 查找匹配候选项中的第一个.,以及dNSName值中第二个字符开头的文字匹配。

所以*.*.example.coma.b.example.com不匹配,因为.*.example.com!= .b.example.com

当然,有些客户可能以不同的方式实现了匹配逻辑。但依靠比这种解释更松懈的事情会导致一些客户说当你希望它不匹配时,它不是一个匹配。

(好的RFC 6125第6.4.3节没有任何实际的MUST;但是如果你尊重那些不应该并且不遵循MAY,但是支持通配符匹配,你最终会得到上面的结果。)

答案 1 :(得分:0)

请参阅https://security.stackexchange.com/a/10540/68042

您只需为每个子域级别提供单独的证书,名称为:

  • example.com
  • *。example.com
  • .example.com的
  • *。example.com

理论上,单个证书包含Subject Alt Name扩展名中的所有条目,但在某些情况下可能不起作用。单独的证书更安全。

要使用单一证书(* .example.com),您可以使用名称meow-foo.example.com而不是meow.foo.example.com

答案 2 :(得分:0)

您可以使用多域通配符SSL证书来保护您的子子域。它可以在通配符下面保护

- *.mydomain.tld
- *.sub1.mydomain.tld
- *.sub2.mydomain.tld
- *.anydomain.com