Подстановочный сертификат - Wildcard certificate
Эта статья может быть слишком техническим для большинства читателей, чтобы понять. Пожалуйста помогите улучшить это к сделать понятным для неспециалистов, не снимая технических деталей. (Июль 2014 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
В компьютерных сетях подстановочный сертификат это сертификат открытого ключа который можно использовать с несколькими поддомены домена. В основном используется для защиты веб-сайтов с помощью HTTPS, но есть и приложения во многих других областях. По сравнению с обычными сертификатами групповой сертификат может быть дешевле и удобнее, чем сертификат для каждого поддомена. Многодоменные подстановочные сертификаты еще больше упрощают сложность и сокращают расходы за счет защиты нескольких доменов и их субдоменов.
Пример
Один подстановочный сертификат для https: //*.example.com
обеспечит безопасность всех этих поддоменов на https: //*.example.com
домен:
payment.example.com
contact.example.com
login-secure.example.com
www.example.com
Вместо получения отдельных сертификатов для субдоменов вы можете использовать один сертификат для всех основных доменов и субдоменов и снизить затраты.[1]
Поскольку подстановочный знак охватывает только один уровень поддоменов (звездочка не соответствует точкам),[2] эти домены не будут действительны для сертификата:
test.login.example.com
"Голый" домен действителен, если добавлен отдельно как Альтернативное имя субъекта (SubjectAltName
):[3]
example.com
Обратите внимание на возможные исключения со стороны центров сертификации, например сертификат с подстановочным знаком плюс от DigiCert содержит автоматическое свойство «Плюс» для голого домена. example.com
.
Тип подстановочных сертификатов
Подстановочные сертификаты классифицируются на основе уровня проверки, количества домена и количества серверов, с которыми он может использоваться. Точно так же они называются групповым сертификатом проверки домена, групповым сертификатом проверки организации и сертификатом расширенной проверки, когда мы классифицируем их в соответствии с уровнем проверки. Имя Многодоменные подстановочные сертификаты и Многосерверные подстановочные сертификаты даются в соответствии с номером домена и номером сервера. Все типы подстановочных сертификатов, подписанных популярными центрами сертификации, категоризированы и перечислены в Интернете. Следовательно, существуют типы подстановочных знаков, которые могут защитить несколько доменов, несколько серверов и обеспечить разные уровни проверки.
Ограничения
Только один уровень субдомен соответствие поддерживается в соответствии с RFC 2818.[4]
Невозможно получить подстановочный знак для Сертификат расширенной проверки.[5] Обходной путь может заключаться в добавлении каждого имени виртуального хоста в Альтернативное имя субъекта (SAN) расширение,[6][7] основная проблема заключается в том, что сертификат необходимо перевыпускать всякий раз, когда добавляется новый виртуальный сервер. (Видеть Безопасность транспортного уровня § Поддержка виртуальных серверов на основе имен для дополнительной информации.)
Подстановочные знаки могут быть добавлены как домены в многодоменных сертификатах или Сертификаты унифицированных коммуникаций (UCC). Кроме того, сами подстановочные знаки могут иметь subjectAltName
расширения, включая другие подстановочные знаки. Например, подстановочный сертификат * .wikipedia.org
имеет * .m.wikimedia.org
в качестве альтернативного имени субъекта. Таким образом обеспечивается www.wikipedia.org
а также совершенно другое название сайта meta.m.wikimedia.org
.[8]
RFC 6125 выступает против подстановочных сертификатов по соображениям безопасности.[9]
Примеры
Эта секция нужны дополнительные цитаты для проверка.Январь 2020) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Подстановочный знак применяется только к одному уровню доменного имени.
label.label.label.TLD
* .domain.com
в порядке. Это будет соответствоватьwww.domain.com
но нетdomain.com
и нетzzz.www.domain.com
Подстановочный знак может появляться где угодно внутри метки как «частичный подстановочный знак» в соответствии с ранними спецификациями.[10]
f * .domain.com
в порядке. Это будет соответствоватьfrog.domain.com
но нетfrog.super.domain.com
baz * .example.net
в порядке и соответствуетbaz1.example.net
* baz.example.net
в порядке и соответствуетfoobaz.example.net
b * z.example.net
в порядке и соответствуетbuzz.example.net
Однако использование сертификатов с частичным подстановочным знаком не рекомендуется. Начиная с 2011 года, частичная поддержка подстановочных знаков является необязательной и явно запрещена в заголовках SubjectAltName, которые требуются для сертификатов с несколькими именами.[11]Все основные браузеры намеренно удаленный поддержка сертификатов с частичным подстановочным знаком;[12][13] они приведут к ошибке «SSL_ERROR_BAD_CERT_DOMAIN». Точно так же стандартные библиотеки языков программирования обычно не поддерживают сертификаты с частичным подстановочным знаком. Например, любой сертификат с "частичным подстановочным знаком" не будет работать с последними версиями Python.[14] и идти. Таким образом,
Не разрешайте метку, состоящую полностью из подстановочного знака, если это не крайняя левая метка.
sub1. *. domain.com
не допускается.
Сертификат с несколькими подстановочными знаками в имени не допускается.
*. *. domain.com
Сертификат с *
плюс домен верхнего уровня не допускается.
* .com
Слишком общее и не должно допускаться.
*
Международные доменные имена, закодированные в ASCII (A-label), являются метками, которые В кодировке ASCII и начнем с xn--
.
Не допускайте использования подстановочных знаков в международной этикетке.
xn--caf-dma.com
являетсяcafé.com
xn - caf-dma * .com
не допускаетсяLw * .xn - caf-dma.com
позволено
Рекомендации
- ^ "Подстановочный сертификат в более простых терминах". 23 мая 2016.
- ^ «RFC 2818 - HTTP через TLS». Инженерная группа Интернета. Май 2000. с. 5. Получено 2014-12-15.
[...] * .a.com соответствует foo.a.com, но не bar.foo.a.com.
- ^ «RFC 2595 - Использование TLS с IMAP, POP3 и ACAP». Инженерная группа Интернета. Июнь 1999. с. 3. Получено 2014-12-15.
Например, * .example.com будет соответствовать a.example.com, foo.example.com и т. Д., Но не соответствовать example.com.
- ^ Ограничение сертификата Wildcard SSL на QuovadisGlobal.com
- ^ «Руководство по выпуску сертификатов расширенной проверки и управлению ими, версия 1.5.2» (PDF). CA / Форум браузеров. 2014-10-16. п. 10. Получено 2014-12-15.
Подстановочные сертификаты не допускаются для сертификатов EV.
- ^ x509v3_config Альтернативное имя субъекта
- ^ Опция SAN доступна для сертификатов EV SSL на Symantec.com.
- ^ Поиск сертификата SSLTools для подстановочного ssl-сертификата Wikipedia.org
- ^ «RFC 6125 - Представление и проверка идентичности службы приложений на основе домена в инфраструктуре открытых ключей Интернета с использованием сертификатов X.509 (PKIX) в контексте безопасности транспортного уровня (TLS)». Инженерная группа Интернета. Март 2011. с. 31 год. Получено 2014-12-10.
В этом документе говорится, что подстановочный знак '*' НЕ СЛЕДУЕТ включать в представленные идентификаторы, но МОЖЕТ проверяться клиентами приложений (в основном ради обратной совместимости с развернутой инфраструктурой). [...] Несколько соображений безопасности оправдывают ужесточение правил: [...]
- ^ Рескорла, Э. (май 2000 г.). «RFC 2818 - HTTP через TLS». tools.ietf.org. Получено 2019-04-20.
- ^ Saint-Andre, P .; Ходжес, Дж. (Март 2011 г.). «RFC 6125 - Представление и проверка идентичности службы приложений на основе домена в инфраструктуре открытых ключей Интернета с использованием сертификатов X.509 (PKIX) в контексте безопасности транспортного уровня (TLS)». tools.ietf.org. Получено 2019-04-20.
- ^ «Запретить поддержку * .example.net, * a.example.net и * b.example.net при обработке подстановочных знаков сертификата». The Chromium Projects, Google Inc., 3 декабря 2014 г.. Получено 21 октября 2020.
- ^ "Ограничьте поддержку DNS-идентификатора с подстановочными знаками именами в форме * .example.com (не foo * .example.com)". Фонд Mozilla. 10 декабря 2014 г.. Получено 21 октября 2020.
- ^ «Запретить поддержку * .example.net, * a.example.net и * b.example.net при обработке подстановочных знаков сертификата». Фонд программного обеспечения Python. 26 ноября 2017 г.. Получено 21 октября 2020.
Соответствующие RFC
- «RFC 2595 - Использование TLS с IMAP, POP3 и ACAP». Инженерная группа Интернета. Июнь 1999. с. 3.
- «RFC 2818 - HTTP через TLS». Инженерная группа Интернета. Май 2000. с. 5.
- «RFC 6125 - Представление и проверка идентичности службы приложений на основе домена в инфраструктуре открытых ключей Интернета с использованием сертификатов X.509 (PKIX) в контексте безопасности транспортного уровня (TLS)». Инженерная группа Интернета. Март 2011 г.