it-swarm-tr.com

Çok düzeyli alt alanlar için hangi sertifikalar gereklidir?

Birkaç alt alan düzeyine sahip bir web sitesinde çalışıyorum. Hepsini SSL ile güvence altına almam gerekiyor ve doğru sertifika stratejisini belirlemeye çalışıyorum.

Güvenceye almam gerekenler:

  • foo.com
  • www.foo.com
  • Herhangi bir city.state.foo.com kombinasyonu. (Bunlar ABD eyaletleri.)

Anladığım kadarıyla, joker karakter sertifikası, alt alanın yalnızca bir "düzeyini" kapsayabilir. RFC 2818'e göre :

Adlar, herhangi bir tek etki alanı adı bileşeniyle veya bileşen parçasıyla eşleştiği kabul edilen joker karakteri * içerebilir. Örneğin, * .a.com foo.a.com ile eşleşir ancak bar.foo.a.com ile eşleşmez. f * .com, foo.com ile eşleşir ancak bar.com ile eşleşmez.

Ne düşünüyorum Aşağıdaki sertifikaları ihtiyacım var:

  • *.foo.com; Örneğin, foo.com, www.foo.com. (Yine de *.a.com 'Un kendi başına a.com İle eşleşip eşleşmediğinden emin değilim.)
  • *.ny.foo.com, new-york.ny.foo.com, buffalo.ny.foo.com, Vb.

Sorularım:

  • Bu şema doğru mu? Yukarıdaki senaryoda, bir kullanıcı ca.foo.com Adresini ziyaret ederse, *.foo.com Veya *.ca.foo.com İçin sertifika alacak mı?
  • Kullanıcıların bu alt alan adlarının tümünü yasal olarak bize ait olarak görmelerini nasıl sağlayabilirim? Örneğin, bir kullanıcı foo.com Adresini ziyaret ederse, mountain-view.ca.foo.com Ve bunlar farklı sertifikalarsa uyarı alırlar mı? Tarayıcılarına bu sertifikaların aynı sahibi paylaştığından emin olmanın bir yolu var mı?
114
Nathan Long

Teorik:

  • a * tam olarak bir düzeyle eşleşir (bu nedenle *.foo.com değilfoo.com ile eşleşir)
  • ancak bir adda birkaç * var

Bu nedenle, tüm SSL uygulamaları sadakatle uyuyorsa RFC 2818 , yalnızca adlara sahip üç sertifikaya ihtiyacınız vardır:

  • foo.com
  • *.foo.com
  • *.*.foo.com

ve eğer uygulamalar RFC 2818 ve X.509'un inceliklerine sadık kalmak konusunda gerçekten iyiyse, yukarıdaki Konu Alt Adı uzantısında üç dizeyi listeleyen bir single sertifikası bile kullanabilirsiniz.

Şimdi, teori ve pratik ... teoride mükemmel şekilde uyuşuyor. Tarayıcıların gerçekte yaptıklarıyla ilgili sürprizleriniz olabilir. Denemenizi öneririm; OpenSSL komut satırı aracıyla bazı örnek sertifikalar oluşturulabilir (birkaç yönerge için bkz. örneğin bu sayfa ).

76
Tom Leek

RFC 6125 oldukça yeni ve herkes tarafından uygulanmıyor, ancak bu sorunların bazılarını açıklığa kavuşturmaya çalışıyor. RFC 2818 ve diğer protokollerin RFC'lerinde kimlik özelliklerini toplar. Mümkünse RFC 6125'e bağlı kalmanızı öneririm. Joker karakter sertifikalarıyla ilgili bölümler 6.4. ve 7.2 (aslında joker karakter sertifikalarının kullanılmasını önler).

Tek bir web sunucusu çalıştırmak (veya en azından hepsini tek bir IP adresinin arkasında çalıştırabilmek) veya site başına bir sertifikaya (ve dolayısıyla bir IP adresine) sahip olup olamayacağınız sorularınız net değildir. site başına, çünkü SNI genel olarak çok iyi desteklenmemektedir).

Birden çok Konu Alternatif Adı (SAN) içeren tek bir sertifikanız olabilir. Sorun, açıkça belirtilemeyen iki joker karakterli etiketten kaynaklanıyor (*.*.foo.com).

Çift joker karakter çalışıyorsa, şu 3 SAN DNS girişlerine sahip bir sertifika çalışmalıdır:

  • foo.com
  • *.foo.com
  • *.*.foo.com

Ancak, işe yaramayabileceğinden (müşterinin muhtemelen sizin kontrolünüzde olmayan uygulamalarına bağlı olarak) ve 50 durumu listeleyebileceğiniz için 52 SAN DNS girişleri olabilir:

  • foo.com
  • *.foo.com
  • *.ny.foo.com
  • ... (her eyalet için bir tane)

Kullanıcıların bu alt alan adlarının tümünü yasal olarak bize ait olarak görmelerini nasıl sağlayabilirim? Örneğin, bir kullanıcı foo.com'u ziyaret ederse, o zaman mountain-view.ca.foo.com ve bunlar farklı sertifikalarsa uyarı alırlar mı? Tarayıcılarına bu sertifikaların aynı sahibi paylaştığından emin olmanın bir yolu var mı?

Bu zor bir sorudur, çünkü kullanıcıların sertifika doğrulama sürecine ne kadar aşina olduklarına bağlıdır. Genişletilmiş bir doğrulama sertifikası alabilirsiniz (her ne kadar joker EV sertifikasına izin verilmiyorsa da) yeşil çubuk verir. Bu, çoğu tarayıcıda bazı "sahiplik" etiketi verir. Bundan sonra, tarayıcının arayüzlerinin kendileri kafa karıştırıcı olabilir (örneğin, mavi çubukta Firefox'un "(bilinmeyen) tarafından çalıştırılan" her iki şekilde de gerçekten yardımcı olmayan). Sonuçta, kullanıcılar sertifikanın hangi SAN'lara verildiğini görmek için sertifikanızı kontrol edebilirler. Ancak, birçok kişinin bunu yapacağından ve bunun ne anlama geldiğini anlayacağından şüpheliyim.

34
Bruno

http://www.digicert.com/welcome/wildcard-plus.htm diyor

Dahası, DigiCert WildCard SSL sertifikaları, tek bir sertifika ile birden fazla alt alan düzeyi dahil olmak üzere alan adınızın HERHANGİ bir alt alanını güvenceye almanıza olanak tanıyan benzersizdir. Örneğin, * .digicert.com com için WildCard'ınız konu alternatif adı olarak server1.sub.mail.digicert.com adresini içerebilir.

4
TechNikh

Joker karakterli bir sertifika kullanabilir veya alternatif etki alanı adlarına sahip bir sertifika kullanabilirsiniz. Şahsen, StartSSL'den tüm alan adlarımı tek bir sertifikada listelememi sağlayan bir sertifika kullanıyorum. Sunucumda barındırdığım siteler arasında SSL kullanabilmem için aynı sertifikada 10 joker alan ve 15 başka ADN gibi bir şey var.

1
AJ Henderson