Подстановочный сертификат - Wildcard certificate

Пример подстановочного сертификата на https://plus.google.com (Обратите внимание звездочка: *)
Пример сертификата EV, действующего как подстановочный сертификат (обратите внимание на поле Subject Alternative Name (SAN))

В компьютерных сетях подстановочный сертификат это сертификат открытого ключа который можно использовать с несколькими поддомены домена. В основном используется для защиты веб-сайтов с помощью HTTPS, но есть и приложения во многих других областях. По сравнению с обычными сертификатами групповой сертификат может быть дешевле и удобнее, чем сертификат для каждого поддомена. Многодоменные подстановочные сертификаты еще больше упрощают сложность и сокращают расходы за счет защиты нескольких доменов и их субдоменов.

Пример

Один подстановочный сертификат для https: //*.example.com обеспечит безопасность всех этих поддоменов на https: //*.example.com домен:

  • payment.example.com
  • contact.example.com
  • login-secure.example.com
  • www.example.com

Вместо получения отдельных сертификатов для субдоменов вы можете использовать один сертификат для всех основных доменов и субдоменов и снизить затраты.[1]

Поскольку подстановочный знак охватывает только один уровень поддоменов (звездочка не соответствует точкам),[2] эти домены не будут действительны для сертификата:

  • test.login.example.com

"Голый" домен действителен, если добавлен отдельно как Альтернативное имя субъекта (SubjectAltName):[3]

  • example.com

Обратите внимание на возможные исключения со стороны центров сертификации, например сертификат с подстановочным знаком плюс от DigiCert содержит автоматическое свойство «Плюс» для голого домена. example.com.

Тип подстановочных сертификатов

Подстановочные сертификаты классифицируются на основе уровня проверки, количества домена и количества серверов, с которыми он может использоваться. Точно так же они называются групповым сертификатом проверки домена, групповым сертификатом проверки организации и сертификатом расширенной проверки, когда мы классифицируем их в соответствии с уровнем проверки. Имя Многодоменные подстановочные сертификаты и Многосерверные подстановочные сертификаты даются в соответствии с номером домена и номером сервера. Все типы подстановочных сертификатов, подписанных популярными центрами сертификации, категоризированы и перечислены в Интернете. Следовательно, существуют типы подстановочных знаков, которые могут защитить несколько доменов, несколько серверов и обеспечить разные уровни проверки.

Ограничения

Только один уровень субдомен соответствие поддерживается в соответствии с RFC  2818.[4]

Невозможно получить подстановочный знак для Сертификат расширенной проверки.[5] Обходной путь может заключаться в добавлении каждого имени виртуального хоста в Альтернативное имя субъекта (SAN) расширение,[6][7] основная проблема заключается в том, что сертификат необходимо перевыпускать всякий раз, когда добавляется новый виртуальный сервер. (Видеть Безопасность транспортного уровня § Поддержка виртуальных серверов на основе имен для дополнительной информации.)

Подстановочные знаки могут быть добавлены как домены в многодоменных сертификатах или Сертификаты унифицированных коммуникаций (UCC). Кроме того, сами подстановочные знаки могут иметь subjectAltName расширения, включая другие подстановочные знаки. Например, подстановочный сертификат * .wikipedia.org имеет * .m.wikimedia.org в качестве альтернативного имени субъекта. Таким образом обеспечивается www.wikipedia.org а также совершенно другое название сайта meta.m.wikimedia.org.[8]

RFC  6125 выступает против подстановочных сертификатов по соображениям безопасности.[9]

Примеры

Подстановочный знак применяется только к одному уровню доменного имени.

label.label.label.TLD
* .domain.com в порядке. Это будет соответствовать www.domain.com но нет domain.com и нет zzz.www.domain.com

Подстановочный знак может появляться где угодно внутри метки как «частичный подстановочный знак» в соответствии с ранними спецификациями.[10]

f * .domain.com в порядке. Это будет соответствовать frog.domain.com но нет frog.super.domain.com
baz * .example.net в порядке и соответствует baz1.example.net
* baz.example.net в порядке и соответствует foobaz.example.net
b * z.example.net в порядке и соответствует buzz.example.net

Однако использование сертификатов с частичным подстановочным знаком не рекомендуется. Начиная с 2011 года, частичная поддержка подстановочных знаков является необязательной и явно запрещена в заголовках SubjectAltName, которые требуются для сертификатов с несколькими именами.[11]Все основные браузеры намеренно удаленный поддержка сертификатов с частичным подстановочным знаком;[12][13] они приведут к ошибке «SSL_ERROR_BAD_CERT_DOMAIN». Точно так же стандартные библиотеки языков программирования обычно не поддерживают сертификаты с частичным подстановочным знаком. Например, любой сертификат с "частичным подстановочным знаком" не будет работать с последними версиями Python.[14] и идти. Таким образом,

Не разрешайте метку, состоящую полностью из подстановочного знака, если это не крайняя левая метка.

sub1. *. domain.com не допускается.

Сертификат с несколькими подстановочными знаками в имени не допускается.

*. *. domain.com

Сертификат с * плюс домен верхнего уровня не допускается.

* .com

Слишком общее и не должно допускаться.

*

Международные доменные имена, закодированные в ASCII (A-label), являются метками, которые В кодировке ASCII и начнем с xn--.

Не допускайте использования подстановочных знаков в международной этикетке.

xn--caf-dma.com является café.com
xn - caf-dma * .com не допускается
Lw * .xn - caf-dma.com позволено

Рекомендации

  1. ^ "Подстановочный сертификат в более простых терминах". 23 мая 2016.
  2. ^ «RFC 2818 - HTTP через TLS». Инженерная группа Интернета. Май 2000. с. 5. Получено 2014-12-15. [...] * .a.com соответствует foo.a.com, но не bar.foo.a.com.
  3. ^ «RFC 2595 - Использование TLS с IMAP, POP3 и ACAP». Инженерная группа Интернета. Июнь 1999. с. 3. Получено 2014-12-15. Например, * .example.com будет соответствовать a.example.com, foo.example.com и т. Д., Но не соответствовать example.com.
  4. ^ Ограничение сертификата Wildcard SSL на QuovadisGlobal.com
  5. ^ «Руководство по выпуску сертификатов расширенной проверки и управлению ими, версия 1.5.2» (PDF). CA / Форум браузеров. 2014-10-16. п. 10. Получено 2014-12-15. Подстановочные сертификаты не допускаются для сертификатов EV.
  6. ^ x509v3_config Альтернативное имя субъекта
  7. ^ Опция SAN доступна для сертификатов EV SSL на Symantec.com.
  8. ^ Поиск сертификата SSLTools для подстановочного ssl-сертификата Wikipedia.org
  9. ^ «RFC 6125 - Представление и проверка идентичности службы приложений на основе домена в инфраструктуре открытых ключей Интернета с использованием сертификатов X.509 (PKIX) в контексте безопасности транспортного уровня (TLS)». Инженерная группа Интернета. Март 2011. с. 31 год. Получено 2014-12-10. В этом документе говорится, что подстановочный знак '*' НЕ СЛЕДУЕТ включать в представленные идентификаторы, но МОЖЕТ проверяться клиентами приложений (в основном ради обратной совместимости с развернутой инфраструктурой). [...] Несколько соображений безопасности оправдывают ужесточение правил: [...]
  10. ^ Рескорла, Э. (май 2000 г.). «RFC 2818 - HTTP через TLS». tools.ietf.org. Получено 2019-04-20.
  11. ^ Saint-Andre, P .; Ходжес, Дж. (Март 2011 г.). «RFC 6125 - Представление и проверка идентичности службы приложений на основе домена в инфраструктуре открытых ключей Интернета с использованием сертификатов X.509 (PKIX) в контексте безопасности транспортного уровня (TLS)». tools.ietf.org. Получено 2019-04-20.
  12. ^ «Запретить поддержку * .example.net, * a.example.net и * b.example.net при обработке подстановочных знаков сертификата». The Chromium Projects, Google Inc., 3 декабря 2014 г.. Получено 21 октября 2020.
  13. ^ "Ограничьте поддержку DNS-идентификатора с подстановочными знаками именами в форме * .example.com (не foo * .example.com)". Фонд Mozilla. 10 декабря 2014 г.. Получено 21 октября 2020.
  14. ^ «Запретить поддержку * .example.net, * a.example.net и * b.example.net при обработке подстановочных знаков сертификата». Фонд программного обеспечения Python. 26 ноября 2017 г.. Получено 21 октября 2020.

Соответствующие RFC