Un Wildcard SAN possible?
Est-il possible de sécuriser plusieurs domaines avec un seul certificat en utilisant des domaines génériques et un SAN?
Par exemple, un certificat SAN qui sécurise les deux *.domain1.com and *.domain2.com?
Tout ce que j'ai lu jusqu'à présent semble indiquer que vous pouvez avoir un certificat générique (* .domain1.com) OR a SAN (Host1.domain1) .com, Host2.domain2.com), mais pas une combinaison. Est-ce correct?
Je suppose que vous souhaitez utiliser le certificat pour HTTP. Dans ce cas, vous devez regarder RFC 2818 . Ce RFC définit clairement que le nom commun ne doit être utilisé que si aucun autre nom de sujet n'est configuré, mais il autorise les certificats génériques dans l'extension SAN. Il devrait donc être possible de combiner plusieurs caractères non génériques et certificats génériques à l'intérieur de la partie SAN du certificat.
Il semble que différentes autorités de certification aient des politiques différentes sur la création de certificats mélangeant des caractères génériques et non génériques: alors que Thawte fait valoir que le mélange n'est pas possible ( https://community.thawte.com/blog-posts/difference-between-wildcard -ssl-vs-san-certificate ) DigiCert le propage comme le meilleur des deux mondes ( http://www.digicert.com/ssl-support/wildcard-san-names.htm ). Il semble donc que ce soit davantage une limitation des autorités de certification et non des navigateurs et certainement pas de la norme.
Oui, c'est certainement techniquement possible. Par exemple, le certificat pour Microsoft Outlook Web Access ( https://Outlook.office365.com ) a été délivré à Outlook.com et contient une combinaison de noms génériques et non génériques dans le SAN:
DNS Name=Outlook.com
DNS Name=*.Outlook.com
DNS Name=office365.com
DNS Name=*.office365.com
DNS Name=*.live.com
DNS Name=*.internal.Outlook.com
DNS Name=*.Outlook.office365.com
DNS Name=Outlook.office.com
DNS Name=attachment.Outlook.office.net
DNS Name=attachment.Outlook.officeppe.net
Bien sûr, comme indiqué ci-dessus, ce certificat a été délivré par Microsoft lui-même, afin qu'ils puissent à peu près faire ce qu'ils veulent.
En règle générale, un nom de domaine ou une URL nécessite un seul certificat pour être sécurisé. Mais que faire si vous devez sécuriser plusieurs domaines? Comment pouvez-vous gérer leur sécurité sans sacrifier le budget et le temps?
Sécurisation de plusieurs domaines
La sécurisation de plusieurs domaines peut être réalisée avec 2 approches, les certificats génériques et les certificats de communications unifiées (UCC), également appelés SAN (Subject Alternative Name). SAN permet vous spécifiez des noms d'hôte supplémentaires (sites, adresses IP, noms communs, etc.) à protéger par un seul certificat SSL, tandis qu'un certificat Wildcard peut prendre en charge un seul domaine et un nombre illimité de sous-domaines de premier niveau. SAN/UCC peut également être combiné en tant qu'extension avec un caractère générique pour ajouter des fonctionnalités au certificat. Vous pouvez combiner ces deux certificats en tant que certificat SSL générique multi-domaine en fonction de vos besoins. Cela rend la gestion de la sécurité de plusieurs sites Web beaucoup plus facile et moins chère que la gestion d'un autre. Certificat SSL pour chaque domaine que vous possédez.
Lire la suite: Sécurisation de plusieurs domaines avec des certificats SAN/UCC
Je voulais juste vous donner un aperçu à la fois des caractères génériques et des certificats SAN.
Caractère générique:
Un certificat générique permet de protéger un nombre illimité de sous-domaines avec un seul certificat.
Par exemple, vous pouvez utiliser un certificat générique pour le nom de domaine abc.com et ce certificat fonctionnera également pour mail.abc.com, ftp.abc.com et tout autre sous-domaine. Le caractère générique fait référence au fait que le certificat est provisionné pour * .abc.com.
Il ne permet pas de validations étendues.
SAN:
Un certificat SAN permet de protéger plusieurs noms de domaine avec un seul certificat.
Par exemple, vous pouvez obtenir un certificat pour abc.com, puis ajouter d'autres valeurs SAN pour que le même certificat protège abc.org, abc.net et même abc.xyz
Il permet des validations étendues.