[server] 2 단계 하위 도메인에 대한 와일드 카드 SSL 인증서

어떤 인증서가 *.*.example.com? 와 같은 이중 와일드 카드를 지원하는지 알고 싶습니다 . 방금 현재 SSL 제공 업체 (register.com)와 전화를했는데 그 소녀는 그런 것을 제공하지 않으며 어쨌든 가능하다고 생각하지 않았다고 말했습니다.

이것이 가능하고 브라우저가 이것을 지원하는지 말해 줄 수 있습니까?



답변

RFC2818 상태 :

인증서에 지정된 유형의 ID가 둘 이상인 경우 (예 : 둘 이상의 dNSName 이름과 일치하면 해당 세트 중 하나와 일치하는 것으로 간주됩니다.) 이름에는 임의의 단일 문자와 일치하는 것으로 간주되는 와일드 카드 문자 *가 포함될 수 있습니다. 도메인 이름 구성 요소 또는 구성 요소 조각. 예를 들어 * .a.com은 foo.a.com과 일치하지만 bar.foo.a.com과는 일치하지 않습니다. f * .com은 foo.com과 일치하지만 bar.com과는 일치하지 않습니다.

Internet Explorer는 RFC에서 설명하는 방식으로 작동하며 각 수준에는 고유 한 와일드 카드 인증서가 필요합니다. Firefox는 단일 * .domain.com에 만족합니다. 여기서 *는 other.levels.domain.com을 포함하여 domain.com 앞에있는 모든 항목과 일치하지만 *. *. domain.com 유형도 처리합니다.

따라서 귀하의 질문에 대답하기 위해 가능하며 브라우저에서 지원합니다.


답변

FF를 확인하기 만하면 IE 8 *.*.example.com에서는 기술적으로 인증서 를 만들 수 있지만 해당 형식의 인증서를 수락하지 않습니다 .


답변

* .domain.com에 대해 와일드 카드 SSL 인증서가 발급되면 기본 도메인을 통해 무제한의 하위 도메인을 보호 할 수 있습니다.

예를 들면 다음과 같습니다.

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

와일드 카드 SSL 인증서가 * .sub1.domain.com에서 발급 된 경우 sub1.domain.com 아래에 나열된 모든 두 번째 수준 하위 도메인을 보호 할 수 있습니다.

예를 들면 다음과 같습니다.

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

제한된 수의 하위 도메인과 두 번째 수준 도메인을 보호하려는 경우 단일 인증서로 최대 100 개의 도메인 이름을 보호 할 수있는 다중 도메인 SSL을 선택할 수 있습니다.

예를 들면 다음과 같습니다.

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

SSL 인증서를 선택하려면 실제 요구 사항을 알아야합니다.


답변

현재 브라우저 버전에서 새로운 테스트를 수행 할 가치가 있습니다.

내 개인 빠른 검사 결과 : Firefox 20.0.1은 여전히 ​​이것을 지원하지 않는 것 같습니다. 이것은 보여준다:

이 인증서는 *. *. mydomain.com에만 유효합니다.

…에 서핑을 할 때 https://svn.project.mydomain.com .

Internet Explorer 9.0 :

이 웹 사이트의 인증서는 다른 주소를 위해 만들어졌습니다

노트:

  • 두 문장 모두 저에 의해 독일어에서 영어로 번역되었습니다. 아마도 영어 브라우저 버전과 동일한 문구를 사용하지 않았을 것입니다.
  • 자체 서명 된 인증서를 사용했습니다. 브라우저에 경고 문구가 추가로 표시되었습니다. 위의 인용문도 신뢰할 수있는 인증서 발급자와 함께 표시한다고 가정합니다. 이것이 “빠른 점검”의 범위를 벗어 났음을 확인합니다.

답변

하위 하위 도메인을 보호하기 위해 동일한 요구 사항이 있고 DigiCert 의 솔루션 을 발견했기 때문에 이에 대한 연구를 하고있었습니다.

이 인증서는 지원 말한다 yourdomain.com, *.yourdomain.com, *.*.yourdomain.com등등합니다.

현재는 다소 비싸지 만 다른 공급자가 비슷한 인증서를 제공하고 가격을 낮추기를 희망합니다.


답변

여기에있는 모든 답변은 2011 년의 RFC 6125를 고려하지 않고 구식이거나 완전히 정확하지 않습니다.

RFC 6125 에 따르면 , 가장 왼쪽에 단일 와일드 카드 만 허용됩니다.

유효한:

*.sub.domain.tld
*.domain.tld

유효하지 않습니다 :

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

단편 또는 “라벨”이라고도하는 단편은 닫힌 구성 요소입니다. 예를 들어 *.com(2 개의 레이블)이 label.label.com(3 개의 레이블) 일치하지 않습니다. 이는 이미 RFC 2818에 정의되어 있습니다.

RFC 2818에서 2011 년 이전에는 설정이 완전히 명확하지 않았습니다.

기존 응용 기술에 대한 사양이 와일드 카드 문자의 허용 가능한 위치에 대해 명확하지 않거나 일관성이 없습니다.

2011 년 RFC 6125에서 변경되었습니다 (6.4.3).

클라이언트는 와일드 카드 문자가 가장 왼쪽 레이블 이외의 레이블을 포함하는 제시된 식별자와 일치하지 않아야합니다 (예 : bar. *. example.net과 일치하지 않음).


답변

귀하의 질문을 조사하고 있지는 않지만 몇 분 전에 그것에 대해 뭔가를 읽었습니다.

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

이중 별표를 사용할 수 없다는 설명


편집하다

웹 사이트가 다운되거나 읽기에 너무 긴 경우 인용 부분을 추가하십시오

불가능한 것은 mail.xyz.com과 photos.xyz.com의 하위 도메인을 하나의 와일드 카드로 포함하는 것입니다. CA 또는 인증 기관은 단일 (*) SSL 인증서 만 제공 할 수 있습니다. 모양의 인증서 서명 요청을 생성 할 수 없습니다 . .xyz.com을 통해 두 번째 수준의 하위 도메인 그룹을 다룰 수 있습니다.

왜 이유

“이중 와일드 카드”SSL 인증서를 가질 수없는 이유는 자리 표시 자 (별표)가 CA에 제출 된 이름의 한 필드에만 존재할 수 있기 때문입니다. 결국, CA는 모든 정보를 확인해야하며, 인증서에 너무 많은 변수가 있으면 인증서가 제공하는 보안 및 신뢰도가 떨어집니다.

또한 이는 IT 관리자와 웹 사이트 소유자에게도 중요하며 내부 보안을 쉽게 손상시킬 수는 없습니다. SSL 인증서가 설치되면 모든 유형의 보안 문제는 개인 키 및 인증서에 대한 액세스 권한이있는 사람이 실제로 적용되는 하위 도메인 웹 사이트를 설정할 수있는 내부 보안 위반으로 인해 발생할 가능성이 훨씬 높습니다. SSL.