1 votes

ericx avatar

Un CN joker dans un certificat SSL peut-il être plus spécifique ?

Demandé el 18 de Février, 2016
Quand la question a-t-elle été
263 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Le nom commun d'un certificat SSL sauvage peut-il être plus spécifique que le simple "*" ?

Par exemple : dans le cas d'un pare-feu avec plusieurs interfaces et des noms similaires attribués à ces interfaces : pix-lan1 , pix-lan2 , pix-wan1 etc. Est-il possible d'utiliser un CN de pix-*.domain pour un seul certificat ?

Clairement *.domain fonctionnerait, mais nous avons constaté que l'utilisation d'un seul certificat sauvage à l'échelle de l'entreprise nécessite le remplacement simultané des certificats sur un nombre beaucoup trop important de machines.

Demandé el 18 de Février, 2016 par ericx

Réponses

Trop de publicités?

3voto

Chris Lercher avatar
Chris Lercher Points 22134

Cela dépend du protocole. Pour HTTPS RFC 2818 permet explicitement au caractère de remplacement d'être à l'intérieur de l'étiquette, c'est-à-dire quelque chose comme f*.example.com . Et je ne trouve aucune déclaration dans le exigences de base du forum des navigateurs de l'AC qui restreignent le caractère générique au seul libellé complet.

Pour d'autres protocoles comme LDAP ou SMTP, la situation est différente. La plupart d'entre eux n'autorisent dans la norme que des caractères génériques complets tels que *.example.com et ne permettent pas f*.example.com . Mais je ne suis pas sûr que ces différences soient vraiment appliquées dans la pratique, car il y a souvent un code commun pour la validation du sujet.

Répondu el 18 de Février, 2016 par Chris Lercher (22134 Points )

2voto

Bhabba avatar
Bhabba Points 113

RFC 6125 paragraphe 6.4.3 dit :

  1. Le client PEUT faire correspondre un identifiant présenté dans lequel le caractère générique n'est pas le seul caractère de l'étiquette (par ex, baz*.exemple.net et baz.example.net et b z.exemple.net serait correspondrait à baz1.example.net, foobaz.example.net et buzz.example.net, respectivement. buzz.example.net, respectivement).

Cependant, le paragraphe 7.2 du même document soulève des problèmes de sécurité. L'annexe B énumère certaines applications et leur utilisation des jokers. Par exemple, un joker tel que votre exemple fonctionne dans HTTP mais pas dans LDAP ou SMTP/POP3/IMAP.

Répondu el 18 de Février, 2016 par Bhabba (113 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X