와일드 카드 SSL 인증서가 루트 도메인과 하위 도메인을 모두 보호해야합니까?

Comodo가 * .example.com에 대한 와일드 카드 인증서가 루트 도메인 example.com을 보호 할 것이라고 말하고 있기 때문에이 질문을합니다. 따라서 단일 인증서를 사용하면 브라우저에서 경고없이 my.example.com과 example.com이 모두 보호됩니다.

그러나 이것은 내가 제공 한 인증서의 경우가 아닙니다. 내 하위 도메인은 안전하게 보호되고 오류가 발생하지 않지만 루트 도메인은 브라우저에서 식별을 확인할 수 없다는 오류를 발생시킵니다.

이 인증서를 다른 유사한 시나리오와 비교할 때 오류없이 작동하는 시나리오에서 주체 대체 이름 (SAN)은 * .example.com과 example.com을 모두 나열하지만 Comodo의 최신 인증서는 * 만 나열합니다. 일반 이름으로 example.com을 사용하고 주제 대체 이름으로 NOT example.com을 사용하십시오.

루트 도메인도 올바르게 보안이 유지되어야하는 경우 누구나 SAN 세부 정보에 루트 도메인이 나열되어 있는지 확인할 수 있습니까?

내가 이것을 읽을 때 : http://www.digicert.com/subject-alternative-name.htm 필요에 따라 작동하려면 SAN이 둘 다 나열해야합니다. 당신의 경험은 무엇입니까?

매우 감사합니다.

와일드 카드와 일치하는 방식에 대해서는 SSL 구현간에 약간의 불일치가 있지만 대부분의 클라이언트에서 작동하려면 대체 이름으로 루트가 필요합니다.

A의 *.example.com인증서,

• a.example.com 통과해야한다
• www.example.com 통과해야한다
• example.com 통과해서는 안된다
• a.b.example.com 구현에 따라 전달 될 수 있습니다 (아마도 아닐 수도 있음).

기본적으로 표준은 *도트가 아닌 하나 이상의 문자와 일치해야하지만 일부 구현에서는 도트를 허용 한다고 말합니다 .

정식 답변은 RFC 2818 (HTTP Over TLS)에 있어야합니다 .

일치는 [RFC2459]에 지정된 일치 규칙을 사용하여 수행됩니다. 인증서에 지정된 유형의 ID가 둘 이상인 경우 (예 : 둘 이상의 dNSName 이름과 일치하면 해당 세트 중 하나와 일치하는 것으로 간주됩니다.) 이름에는 임의의 단일 문자와 일치하는 것으로 간주되는 와일드 카드 문자 *가 포함될 수 있습니다. 도메인 이름 구성 요소 또는 구성 요소 조각. 예를 들어, *.a.comfoo.a.com과 일치하지만 bar.foo.a.com과는 일치하지 않습니다. f*.comfoo.com과 일치하지만 bar.com과는 일치하지 않습니다.

RFC 2459의 말 :

• "*"와일드 카드 문자는 인증서에서 가장 왼쪽에있는 이름 구성 요소로 사용될 수 있습니다. 예를 들어 *.example.coma.example.com, foo.example.com 등은 일치하지만 example.com과는 일치하지 않습니다.

example.com, www.example.com 및 foo.example.com에서 작동하는 인증서가 필요한 경우 "example.com"및 "* .example.com"(또는 예제)을 갖도록 subjectAltNames가있는 인증서가 필요합니다. .com 및 일치해야 할 다른 모든 이름).

맞습니다. 루트 도메인은 유효성을 검사하기위한 대체 이름이어야합니다.

내가 사용한 모든 SSL 공급자는 루트 도메인을 주체 대체 이름으로 와일드 카드 SSL 인증서에 자동으로 추가하므로 DOMAIN.COM은 * .DOMAIN.COM 와일드 카드 인증서에 대해 자동으로 작동합니다.

와일드 카드 인증서는 * .example.com에 이상적으로 생성 됩니다.이 인증서로 하위 도메인과 도메인을 보호하려면이 도메인을 가리키는 서버에 동일한 인증서를 설치하기 만하면됩니다.

예를 들어 * .example.com에 대한 와일드 카드 인증서가 있습니다. one.example.com-서버 1 example.com-서버 2

이 인증서는 서버 1과 서버 2에 설치해야합니다.