мы имеем сертификат SSL Wildcard для * .domain.com, и есть сайт с sub1.sub2.domain.comWildcard SSL на суб-подобласти
сафари 4.0.4 на MacOSX выскакивает ошибка сертификата (предположительно из-за подстановочной интерпретации), в то время как сафари 4 на окнах нет.
также, как правило, поведение помечено в лучшем случае, некоторые ie8 не отображают ошибку сертификата, а некоторые нет.
Что вызывает это странное поведение в Safari и IE?
Подстановочный знак применяется только к первой части (слева) вашего домена. Поэтому вам понадобится сертификат для * .sub2.domain.com
Если вы имели в виду, что у вас есть sub1.domain.com и sub2.domain.com, тогда он должен работать.
Подстановочная сертификат SSL для * .example.net будет соответствовать sub.example.net но не sub.sub.example.net.
От RFC 2818:
Согласование выполняется с использованием правила сопоставления, заданные RFC2459. Если в присутствует более одного идентификатора данного типа, сертификат (например, более одного имени dNSName, совпадение в любом набора считается приемлемым.) Имена могут содержать подстановочный знак символ
*, который считается соответствие любому доменному имени фрагменту компонента или компонента. Например,*.a.comсоответствуетfoo.a.com, но неbar.foo.a.com.f*.comсоответствуетfoo.com, но неbar.com.
Ну, это, безусловно, мошенничество со стороны органов сертификации. Органы сертификации уже в основном являются мошенниками для начала, чтобы ограничить сертификаты подстановочных знаков, так как это просто движение золотого рытья. –
@Chris Я так не думаю, что существуют различные технические факторы, которые ограничивают такое правило и принудительные сертификационные центры соответствующим образом разрабатывают сертификат безопасности. – 2012-10-08 05:20:31
@sophie различные технические факторы, например, кто-то понял, что более выгодно продавать сертификаты бесконечности, чем позволить 1 сертификату покрывать каждый отдельный сценарий до бесконечности. –
Если вам нужен сертификат, который содержит подстановочные * .domain.com сайты, а также работать с sub1.sub2.domain.com или другой домен, как * .domain2.com, вы можете решить, что с помощью одного сертификата подстановочные с тем, что называется расширением альтернативного имени субъекта (SAN) для каждого из других под-поддоменов. Сертификат SAN предназначен не только для нескольких конкретных имен хостов, но и для записей подстановочных знаков.
Например, * .domain.com, sub1.sub2.domain.com и * .domain2.com будут иметь общее имя * .domain.com, тогда вы добавили бы альтернативное имя объекта *. domain2.com и * .sub2.domain.com. Это может зависеть от Центра сертификации в отношении того, как они будут взимать плату (или нет) за сертификат, но есть некоторые там, где это предложение доступно. Кроме того, поддержка SAN довольно широко распространена в пространстве веб-браузера. Лучший пример этого использования в реальном мире - это сертификат SSL от Google. Откройте аккаунт Google и просмотрите его сертификат SSL, вы увидите, что он работает на * .google.com, * .youtube.com, * .gmail.com и еще больше, где они указаны как альтернативные имена субъектов.
Каковы примеры центров сертификации, которые выдавали бы такие сертификаты? –
Таким образом, можно получить сертификат для '* .DOMAIN.COM', который имеет SAN для' *. *. DOMAIN.COM' (и, возможно, '*. *. *. DOMAIN.COM') для покрытия этих субподдоменов и суб-субдоменов? –
@SimonEast невозможно. – Nick
только что понял из этой проблемы после покупки нового 2-летнего сертификата ... – Rafa