web-dev-qa-db-fra.com

wildcard ssl sur le sous-sous-domaine

nous avons un certificat wildcard ssl pour * .domain.com et un site Web avec sub1.sub2.domaine.com

safari 4.0.4 sur MacOsx affiche une erreur de certificat (probablement en raison de l'interprétation générique), contrairement à Safari 4 sous Windows.

de plus, le comportement ie8 est au mieux mixte, certains ie8 n'affichent pas l'erreur de certificat et d'autres pas.

Quelles sont les causes de ce comportement étrange sur Safari et IE?

ssl-certificatewildcard-subdomain
142
porto alet

Un certificat SSL générique pour * .example.net correspondra sous.exemple.net mais non sous.sous.exemple.net.

De RFC 2818 :

La correspondance est effectuée à l'aide des règles de correspondance spécifiées par RFC2459 . Si plusieurs certificats d'un type donné sont présents dans le certificat (par exemple, plusieurs noms dNSName, une correspondance dans l'un des ensembles est considérée comme acceptable.) Les noms peuvent contenir le caractère générique * qui est considéré comme correspondant à un composant ou à un fragment de nom de domaine unique. Par exemple., *.a.com allumettes foo.a.com mais non bar.foo.a.com. f*.com allumettes foo.com mais non bar.com.

182
Elias Torres Arroyo

Si vous avez besoin d'un certificat générique contenant des sites * .domain.com et fonctionnant également avec sub1.sub2.domaine.com ou un autre domaine tel que * .domain2.com, vous pouvez résoudre ce problème avec un seul certificat générique avec un objet. autre nom (SAN) extension pour chacun des autres sous-domaines. Un certificat SAN ne concerne pas seulement plusieurs noms d’hôte spécifiques, il peut également être créé pour les entrées avec caractères génériques.

Par exemple, * .domain.com, sub1.sub2.domain.com et * .domain2.com auront un nom commun de * .domain.com, puis vous joindrez un autre nom de sujet, à la fois * .domain2.com et * .sous2.domaine.com. Cela peut dépendre de l'autorité de certification quant à la manière dont elle vous facture (ou non) pour le certificat, mais cette offre est disponible dans certains cas. En outre, SAN est assez répandu dans l’espace du navigateur Web. Le meilleur exemple dans le monde de cette utilisation, le certificat SSL de Google. Ouvrez Google et affichez son certificat SSL, vous le verrez. fonctionne pour * .google.com, * .youtube.com, * .gmail.com, et un tas d'autres lieux où ils sont répertoriés comme noms alternatifs de sujets.

59
RobLL

Le caractère générique ne s'applique qu'à la première partie (à gauche) de votre domaine. Il vous faut donc un certificat pour * .sub2.domaine.com

Si vous vouliez dire que vous avez sub1.domain.com et sub2.domain.com, cela devrait alors fonctionner.

14
JAG