Je voudrais savoir si des certificats supportent un double joker comme *.*.example.com? Je viens de parler au téléphone avec mon fournisseur SSL actuel (register.com) et la fille là-bas m'a dit qu'ils n'offraient rien de tel et qu'elle ne pensait pas que c'était possible de toute façon.
Est-ce que quelqu'un peut me dire si c'est possible, et si les navigateurs le prennent en charge?
Ceci pourrait valoir la peine de faire un nouveau tour de tests avec les versions actuelles des navigateurs.
Mon contrôle rapide personnel donne : Firefox 20.0.1 semble toujours ne pas supporter cela. Il affiche :
Ce certificat n'est valide que pour *.*.mondomaine.com
...lors de la navigation sur https://svn.projet.mondomaine.com.
Internet Explorer 9.0:
Le certificat de ce site web a été fait pour une autre adresse
Remarques :
Bien que je ne recherche pas la réponse à votre question, je viens de lire quelque chose à ce sujet il y a quelques minutes :
https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php
cela explique que vous ne pouvez pas utiliser deux astérisques
Ajouter une partie de la citation au cas où le site web tomberait en panne ou si elle est trop longue à lire
Ce qui n'est pas possible est de tenter de couvrir à la fois les sous-domaines de mail.xyz.com et photos.xyz.com avec un seul certificat Wildcard. La CA ou Autorité de Certification ne peut fournir qu'un seul certificat SSL avec un simple (*). Vous ne pourriez pas générer une Demande de Signature de Certificat qui ressemble à ..xyz.com pour essayer de couvrir plus d'un groupe de sous-domaines de deuxième niveau.
La raison pour laquelle
Les raisons pour lesquelles il n'est pas possible d'avoir un certificat SSL à "double astérisque" est que le paramètre, l'astérisque, ne peut représenter qu'un champ dans le nom soumis à la CA. Après tout, la CA doit vérifier toutes les informations, et trop de variables dans le certificat diminueraient la sécurité et la confiance que le certificat offre.
De plus, et c'est important pour les responsables informatiques et les propriétaires de sites web aussi, la sécurité interne ne peut pas être compromise si facilement. Gardez à l'esprit que tout problème de sécurité, une fois qu'un certificat SSL est en place, est beaucoup plus susceptible de se produire à partir d'une violation de la sécurité interne où quelqu'un ayant accès à la clé privée et au certificat est en mesure de mettre en place un site web sous-domaine qui est effectivement couvert par le SSL.
Ce que vous pouvez faire, c'est quelque chose comme *.domain.com puis *.www.domain.com ou *.mail.domain.com. Je n'ai jamais vu *.*.domain.com sur un site de production.
Vous pouvez obtenir un joker (*.domain.com) mais vous aurez également besoin de *.www.domain.com comme entrée de nom d'alternative pour que cela fonctionne. Les seules entreprises que je connais qui offrent cela sont ssl.com et digicert. Il peut y en avoir d'autres mais je n'en suis pas sûr.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
17 votes
FYI pour les futurs visiteurs, aucun navigateur ne prend en charge un certificat double joker comme
*.*.example.comen 2015. Aucune idée pourquoi.1 votes
@Mahn Doit-on alors écrire
*.a.a.com,*.b.a.com,*.c.a.com, ... manuellement?1 votes
@LiamWilliam apparemment, je n'ai pas trouvé d'autres combinaisons que les navigateurs aiment jusqu'à présent. C'est pénible.
2 votes
@William oui, mais d'un autre côté, n'utilisez pas le
.pour séparer les éléments de votre domaine qui appartiennent ensemble - les domaines sont des préoccupations de domaine. Pourquoi auriez-vous besoin dephpmyadmin.serverX.domain.com, alors quephpmyadmin-serverX.domain.comest sémantiquement plus précis et plus facile à gérer en termes de DNS et de TLS.