2 단계 하위 도메인에 대한 와일드 카드 SSL 인증서


93

어떤 인증서가 *.*.example.com? 와 같은 이중 와일드 카드를 지원하는지 알고 싶습니다 . 방금 현재 SSL 제공 업체 (register.com)와 전화를했는데 그 소녀는 그런 것을 제공하지 않으며 어쨌든 가능하다고 생각하지 않았다고 말했습니다.

이것이 가능하고 브라우저가 이것을 지원하는지 말해 줄 수 있습니까?


10
향후 방문자를위한 참고 *.*.example.com로, 2015 년 기준으로 두 번의 와일드 카드 인증서를 지원하는 브라우저는 없습니다 . 이유는 없습니다.
Mahn

@Mahn 그럼 당신은 작성해야 할 *.a.a.com, *.b.a.com, *.c.a.com수동 ...?
William

1
@LiamWilliam은 분명히 브라우저가 지금까지 좋아하는 다른 조합을 찾지 못했습니다. 고통입니다.
Mahn

1
@William 네, 그러나 반면에 .도메인 이름에서 도메인 항목을 분리 하는 데 사용하지 마십시오 . 도메인은 도메인 문제입니다. 의미 상보다 정확하고 DNS 및 TLS 용어를 다루기 쉬운 phpmyadmin.serverX.domain.com시기 phpmyadmin-serverX.domain.com가 필요한 이유는 무엇입니까?
Daniel W.

답변:


52

RFC2818 상태 :

인증서에 지정된 유형의 ID가 둘 이상인 경우 (예 : 둘 이상의 dNSName 이름과 일치하면 해당 세트 중 하나와 일치하는 것으로 간주됩니다.) 이름에는 임의의 단일 문자와 일치하는 것으로 간주되는 와일드 카드 문자 *가 포함될 수 있습니다. 도메인 이름 구성 요소 또는 구성 요소 조각. 예를 들어 * .a.com은 foo.a.com과 일치하지만 bar.foo.a.com과는 일치하지 않습니다. f * .com은 foo.com과 일치하지만 bar.com과는 일치하지 않습니다.

Internet Explorer는 RFC에서 설명하는 방식으로 작동하며 각 수준에는 고유 한 와일드 카드 인증서가 필요합니다. Firefox는 단일 * .domain.com에 만족합니다. 여기서 *는 other.levels.domain.com을 포함하여 domain.com 앞에있는 모든 항목과 일치하지만 *. *. domain.com 유형도 처리합니다.

따라서 귀하의 질문에 대답하기 위해 가능하며 브라우저에서 지원합니다.


5
감사합니다! 오늘 아침 FF 3.5.7을 테스트 한 결과 IE와 같은 방식으로 RFC를 준수 함을 알 수있었습니다. foo.bar.example.com에 대한 .example.com 인증서를 거부했습니다 . 따라서 내가 필요로하는 모든 것을 명확히하기 위해 *가있는 또 다른 와일드 카드 인증서가 있습니다. .example.com을 일반 이름으로 사용 하시겠습니까?

7
방금 FF 3.5 및 IE 8에서 테스트했으며에 대한 인증서를 수락하지 않습니다 . .example.com. 유일한 해결책은 여러 개의 와일드 카드 인증서를 사용하는 것입니다.
Robert

9
누가이 표준을 작성 했습니까? 이것은 쓸모가 없습니다. 당신이 나에게 요청하면 또한 돈 낭비. 무엇을 보호합니까?
Brent Pabst

6
이중 와일드 카드로 인해 문제가 발생하면 와일드 카드 주변의 특정 하위 도메인이 작동합니까? alaSubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
rcoup

2
@tudor FWIW, 방금 테스트 및 파이어 폭스는 나에게 보여줍니다 귀하의 연결이 안전하지 액세스 할 때 페이지 sub1.sub2.mydomain.com*.mydomain.com대한 인증서가 유효 고려에도 불구하고, 인증서 sub2.mydomain.com. 따라서 내가 알 수있는 한, 적어도 오늘은이 대답이 실제로 잘못되었습니다. 답변을 게시 한 날 의 행동 재현 할 수 없다고 말하는 누군가의 의견도 있다는 것을 고려할 때 , 나는 그것이 옳은지에 대해 회의적입니다.
Mark Amery 10

20

FF를 확인하기 만하면 IE 8 *.*.example.com에서는 기술적으로 인증서 를 만들 수 있지만 해당 형식의 인증서를 수락하지 않습니다 .


2
그럼 당신은 작성해야합니까 *.a.a.com, *.b.a.com, *.c.a.com수동?
William

2
@ William 그렇게 생각합니다. 이것은 정말 불행하다.
Franklin Yu

17

* .domain.com에 대해 와일드 카드 SSL 인증서가 발급되면 기본 도메인을 통해 무제한의 하위 도메인을 보호 할 수 있습니다.

예를 들면 다음과 같습니다.

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • sub * .domain.com

와일드 카드 SSL 인증서가 * .sub1.domain.com에서 발급 된 경우 sub1.domain.com 아래에 나열된 모든 두 번째 수준 하위 도메인을 보호 할 수 있습니다.

예를 들면 다음과 같습니다.

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***. sub1.domain.com

제한된 수의 하위 도메인과 두 번째 수준 도메인을 보호하려는 경우 단일 인증서로 최대 100 개의 도메인 이름을 보호 할 수있는 다중 도메인 SSL을 선택할 수 있습니다.

예를 들면 다음과 같습니다.

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

SSL 인증서를 선택하려면 실제 요구 사항을 알아야합니다.


1
이것은 좋은 이해이지만 질문에 대답하지 않습니다. 당신은 모든 조합이 아니라 영업 이익은 요청한 일 (언급 . .domain.com에를).
Daniel W.

8

현재 브라우저 버전에서 새로운 테스트를 수행 할 가치가 있습니다.

내 개인 빠른 검사 결과 : Firefox 20.0.1은 여전히 ​​이것을 지원하지 않는 것 같습니다. 이것은 보여준다:

이 인증서는 *. *. mydomain.com에만 유효합니다.

...에 서핑을 할 때 https://svn.project.mydomain.com .

Internet Explorer 9.0 :

이 웹 사이트의 인증서는 다른 주소를 위해 만들어졌습니다

노트:

  • 두 문장 모두 저에 의해 독일어에서 영어로 번역되었습니다. 아마도 영어 브라우저 버전과 동일한 문구를 사용하지 않았을 것입니다.
  • 자체 서명 된 인증서를 사용했습니다. 브라우저에 경고 문구가 추가로 표시되었습니다. 위의 인용문도 신뢰할 수있는 인증서 발급자와 함께 표시한다고 가정합니다. 이것이 "빠른 점검"의 범위를 벗어 났음을 확인합니다.

7

하위 하위 도메인을 보호하기 위해 동일한 요구 사항이 있고 DigiCert 의 솔루션 을 발견했기 때문에 이에 대한 연구를 하고있었습니다.

이 인증서는 지원 말한다 yourdomain.com, *.yourdomain.com, *.*.yourdomain.com등등합니다.

현재는 다소 비싸지 만 다른 공급자가 비슷한 인증서를 제공하고 가격을 낮추기를 희망합니다.


이것이 올바른 접근법입니다. 여러 개의 (와일드 카드) 이름이 지원되는 와일드 카드 인증서
drAlberT

이 인증서는 digicert에서 가져 왔습니다. 이를 지원하지만 기본적으로는 지원하지 않습니다. 중복 인증서를 생성하고 인증서의 모든 하위 도메인을 지정해야합니다. 자동이 아닙니다.
L_7337

7

여기에있는 모든 답변은 2011 년의 RFC 6125를 고려하지 않고 구식이거나 완전히 정확하지 않습니다.

RFC 6125 에 따르면 , 가장 왼쪽에 단일 와일드 카드 만 허용됩니다.

유효한:

*.sub.domain.tld
*.domain.tld

유효하지 않습니다 :

sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

단편 또는 "라벨"이라고도하는 단편은 닫힌 구성 요소입니다. 예를 들어 *.com(2 개의 레이블)이 label.label.com(3 개의 레이블) 일치하지 않습니다. 이는 이미 RFC 2818에 정의되어 있습니다.

RFC 2818에서 2011 년 이전에는 설정이 완전히 명확하지 않았습니다.

기존 응용 기술에 대한 사양이 와일드 카드 문자의 허용 가능한 위치에 대해 명확하지 않거나 일관성이 없습니다.

2011 년 RFC 6125에서 변경되었습니다 (6.4.3).

클라이언트는 와일드 카드 문자가 가장 왼쪽 레이블 이외의 레이블을 포함하는 제시된 식별자와 일치하지 않아야합니다 (예 : bar. *. example.net과 일치하지 않음).


2

귀하의 질문을 조사하고 있지는 않지만 몇 분 전에 그것에 대해 뭔가를 읽었습니다.

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

이중 별표를 사용할 수 없다는 설명


편집하다

웹 사이트가 다운되거나 읽기에 너무 긴 경우 인용 부분을 추가하십시오

불가능한 것은 mail.xyz.com과 photos.xyz.com의 하위 도메인을 하나의 와일드 카드로 포함하는 것입니다. CA 또는 인증 기관은 단일 (*) SSL 인증서 만 제공 할 수 있습니다. 모양의 인증서 서명 요청을 생성 할 수 없습니다 . .xyz.com을 통해 두 번째 수준의 하위 도메인 그룹을 다룰 수 있습니다.

왜 이유

"이중 와일드 카드"SSL 인증서를 가질 수없는 이유는 자리 표시 자 (별표)가 CA에 제출 된 이름의 한 필드에만 존재할 수 있기 때문입니다. 결국, CA는 모든 정보를 확인해야하며, 인증서에 너무 많은 변수가 있으면 인증서가 제공하는 보안 및 신뢰도가 떨어집니다.

또한 이는 IT 관리자와 웹 사이트 소유자에게도 중요하며 내부 보안을 쉽게 손상시킬 수는 없습니다. SSL 인증서가 설치되면 모든 유형의 보안 문제는 개인 키 및 인증서에 대한 액세스 권한이있는 사람이 실제로 적용되는 하위 도메인 웹 사이트를 설정할 수있는 내부 보안 위반으로 인해 발생할 가능성이 훨씬 높습니다. SSL.


1
답변 지침에 따라 답변 본문에 기사의 필수 부분을 인용해야합니다. 이 링크는 시간이 지남에 따라 변경되거나 기사가 삭제 될 수 있습니다. 그렇지 않으면 답변으로 간주되지 않을 수 있습니다.
sr9yar

0

할 수있는 일은 * .domain.com과 * .www.domain.com 또는 * .mail.domain.com과 같은 것입니다. 프로덕션 사이트에서 *. *. domain.com을 본 적이 없습니다.

와일드 카드 (* .domain.com)를 얻을 수 있지만 다른 주체 이름 항목으로 * .www.domain.com도 필요합니다. 내가 아는 유일한 회사는 ssl.com과 digicert입니다. 다른 사람이있을 수 있지만 확실하지 않습니다.


letsencrypt를 사용하면 와일드 카드 인증서도 발급 할 수 있습니다. 그리고 여러 SAN을 허용합니다. 따라서 SAN 세트를 정의 할 수 있습니다. 예 -d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com.
조각난
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.