152 votes

Utilisateur non enregistré avatar

Certificat SSL générique pour un sous-domaine de deuxième niveau

Demandé el 19 de Janvier, 2010
Quand la question a-t-elle été
140258 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je voudrais savoir si des certificats supportent un double joker comme *.*.example.com? Je viens de parler au téléphone avec mon fournisseur SSL actuel (register.com) et la fille là-bas m'a dit qu'ils n'offraient rien de tel et qu'elle ne pensait pas que c'était possible de toute façon.

Est-ce que quelqu'un peut me dire si c'est possible, et si les navigateurs le prennent en charge?

Demandé el 19 de Janvier, 2010 par Utilisateur non enregistré

17 votes

Avatar de Dean Putney

FYI pour les futurs visiteurs, aucun navigateur ne prend en charge un certificat double joker comme *.*.example.com en 2015. Aucune idée pourquoi.

Commenté el 10 de Août, 2015 par Dean Putney

1 votes

Avatar de goe1zorbey

@Mahn Doit-on alors écrire *.a.a.com, *.b.a.com, *.c.a.com, ... manuellement?

Commenté el 2 de Septembre, 2015 par goe1zorbey

1 votes

Avatar de Dean Putney

@LiamWilliam apparemment, je n'ai pas trouvé d'autres combinaisons que les navigateurs aiment jusqu'à présent. C'est pénible.

Commenté el 2 de Septembre, 2015 par Dean Putney
Afficher 1 autres commentaires

Réponses

Trop de publicités?

71voto

Corey avatar
Corey Points 504

RFC2818 déclare :

Si plusieurs identités d'un même type sont présentes dans le certificat (par exemple, plusieurs noms dNSName, une correspondance dans un seul ensemble est considérée comme acceptable). Les noms peuvent contenir le caractère générique * qui est considéré comme correspondant à n'importe quel composant ou fragment de nom de domaine unique. Par exemple, *.a.com correspond à foo.a.com mais pas à bar.foo.a.com. f*.com correspond à foo.com mais pas à bar.com.

Internet Explorer se comporte conformément au RFC, où chaque niveau nécessite son propre certificat avec un caractère générique. Firefox accepte un seul *.domaine.com où * correspond à tout ce qui se trouve devant domaine.com, y compris other.levels.domaine.com, mais gère également les types *.*.domaine.com.

Donc, pour répondre à votre question : c'est possible, et pris en charge par les navigateurs.

Répondu el 19 de Janvier, 2010 par Corey (504 Points )

6 votes

Avatar de Utilisateur non enregistré

Merci! Les tests sur FF 3.5.7 ce matin ont montré qu'il est désormais conforme à la norme RFC de la même manière que IE. Il a rejeté mon certificat .example.com pour foo.bar.example.com. Donc, juste pour clarifier, tout ce dont j'ai besoin est un autre certificat générique qui a *..example.com comme Nom Commun ?

Commenté el 19 de Janvier, 2010 par Utilisateur non enregistré

0 votes

Avatar de Corey

Correct, basé là-dessus vous auriez besoin d'un *.*.exemple.com

Commenté el 19 de Janvier, 2010 par Corey

7 votes

Avatar de Ilya Komakhin

Je viens de tester sur FF 3.5 et IE 8 et aucun des deux n'accepte un certificat pour ..example.com. Je pense que la seule solution est d'utiliser plusieurs certificats génériques.

Commenté el 21 de Janvier, 2010 par Ilya Komakhin
Afficher 6 autres commentaires

69voto

Daniel W. avatar
Daniel W. Points 1399

Toutes les réponses ici sont obsolètes ou pas entièrement correctes, ne tenant pas compte du RFC 6125 de 2011.

Conformément au RFC 6125, un seul caractère générique est autorisé dans le fragment le plus à gauche.

Valide :

*.sous.domaine.tld
*.domaine.tld

Non valide :

sous.*.domaine.tld
*.*.domaine.tld
domaine.*
*.tld
sous.*.*

Un fragment, ou également appelé "label", est un composant clos, par exemple : *.com (2 labels) ne correspond pas à label.label.com (3 labels) - cela a déjà été défini dans le RFC 2818.

Avant 2011 dans le RFC 2818, la configuration n'était pas entièrement claire :

Les spécifications des technologies d'application existantes ne sont pas claires ou cohérentes quant à l'emplacement autorisé du caractère générique.

Cela a changé avec le RFC 6125 de 2011 (6.4.3) :

Le client NE DOIT PAS essayer de faire correspondre un identifiant présenté dans lequel le caractère générique comprend un label autre que le label le plus à gauche (par exemple, ne pas faire correspondre bar.*.exemple.net).

Répondu el 20 de Décembre, 2018 par Daniel W. (1399 Points )

2 votes

Avatar de jmoneystl

Merci pour les exemples, citer vos sources et inclure des extraits pertinents de ces derniers. Cela a été très utile. Je suis venu ici en me demandant si sub.*.domain.tld était invalide ; et maintenant j'ai ma réponse.

Commenté el 16 de Juin, 2023 par jmoneystl

24voto

Jason Parms avatar
Jason Parms Points 272

Lorsque le certificat SSL Wildcard est émis pour *.domain.com, vous pouvez sécuriser un nombre illimité de sous-domaines sur le domaine principal.

Par exemple :

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub*.domain.com

Si le certificat SSL Wildcard est émis sur *.sub1.domain.com, dans ce cas, vous pouvez sécuriser tous les sous-domaines de deuxième niveau qui sont répertoriés sous sub1.domain.com

Par exemple :

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***.sub1.domain.com

Si vous souhaitez sécuriser un nombre limité de sous-domaines et de domaines de deuxième niveau, vous pouvez choisir un certificat SSL multi-domaines qui peut sécuriser jusqu'à 100 noms de domaine avec un seul certificat.

Par exemple :

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

Vous devez connaître vos besoins réels pour choisir un certificat SSL.

Répondu el 8 de Janvier, 2015 par Jason Parms (272 Points )

5 votes

Avatar de Daniel W.

Il s'agit d'une bonne compréhension mais ne répond pas à la question. Vous avez mentionné toutes les combinaisons sauf celle pour laquelle l'auteur a demandé (..domain.com).

Commenté el 8 de Août, 2018 par Daniel W.

23voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Juste pour confirmer que FF et IE 8 N'accepteront PAS les certificats sous la forme *.*.exemple.com bien qu'il soit techniquement possible de les créer.

Répondu el 27 de Janvier, 2010 par Utilisateur non enregistré (0 Points )

3 votes

Avatar de goe1zorbey

Ensuite, devez-vous écrire *.a.a.com, *.b.a.com, *.c.a.com manuellement?

Commenté el 2 de Septembre, 2015 par goe1zorbey

3 votes

Avatar de Franklin Yu

@William Je pense que oui. C'est vraiment malheureux.

Commenté el 17 de Août, 2018 par Franklin Yu

8voto

F21 avatar
F21 Points 686

Je faisais des recherches sur ce sujet car j'ai les mêmes exigences pour sécuriser les sous-sous-domaines et j'ai découvert une solution de DigiCert.

Ce certificat indique qu'il prend en charge yourdomain.com, *.yourdomain.com, *.*.yourdomain.com et ainsi de suite.

Actuellement, c'est plutôt cher, mais on espère que d'autres fournisseurs commenceront à proposer des certificats similaires et à réduire les prix.

Répondu el 7 de Janvier, 2013 par F21 (686 Points )

0 votes

Avatar de drAlberT

C'est la bonne approche. un certificat joker ayant plusieurs noms (joker) supportés

Commenté el 28 de Mai, 2015 par drAlberT

0 votes

Avatar de Samyak

Nous avons ce certificat de digicert. Il le prend en charge, mais pas par défaut. Vous devez créer un certificat dupliqué et spécifier tous les sous-domaines dans le certificat. Ce n'est pas automatique.

Commenté el 3 de Juin, 2016 par Samyak

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X