我想知道是否有任何证书支持像这样的双通配符*.*.example.com?我刚刚打电话给我当前的 SSL 提供商 (register.com),那里的女孩说他们不提供任何类似的东西,而且她认为这是不可能的。
有人能告诉我这是否可能,以及浏览器是否支持这一点?
答案1
RFC2818状态:
如果证书中存在多个给定类型的身份(例如,多个 dNSName 名称,则集合中任何一个的匹配都被视为可接受。)名称可能包含通配符 *,该通配符被视为与任何单个域名组件或组件片段匹配。例如,*.a.com 与 foo.a.com 匹配,但不与 bar.foo.a.com 匹配。f*.com 与 foo.com 匹配,但不与 bar.com 匹配。
Internet Explorer 的行为方式与 RFC 概述的方式一致,即每个级别都需要自己的通配符证书。Firefox 只接受单个 *.domain.com,其中 * 可匹配 domain.com 前面的任何内容,包括 other.levels.domain.com,但也会处理 *.*.domain.com 类型。
因此,回答你的问题:这是可能的,并且受到浏览器的支持。
答案2
这里的所有答案都已过时或不完全正确,没有考虑到 2011 年的 RFC 6125。
根据RFC 6125,最左边的片段只允许使用一个通配符。
有效的:
*.sub.domain.tld
*.domain.tld
无效的:
sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*
片段(或也称为“标签”)是一个封闭的组件,例如:*.com(2 个标签)不匹配label.label.com(3 个标签)——这已在 RFC 2818 中定义。
2011 年之前,RFC 2818 中的设置并不完全明确:
现有的应用技术规范对于通配符的允许位置并不明确或一致。
从 2011 年起,RFC 6125 (6.4.3) 已经改变了这一情况:
客户端不应该尝试匹配所呈现的标识符,其中通配符包含除最左边的标签之外的标签(例如,不匹配bar.*.example.net)。
答案3
当为 *.domain.com 颁发通配符 SSL 证书时,您可以在主域名上保护无限数量的子域名。
例如:
- sub1.域名.com
- sub2.域名.com
- sub3.域名.com
- sub*.域名.com
如果通配符 SSL 证书是在 *.sub1.domain.com 上颁发的,那么您可以保护 sub1.domain.com 下列出的所有二级子域名
例如:
- aaa.sub1.域名.com
- bbb.sub1.域名.com
- ccc.sub1.域名.com
- ***.sub1.域名.com
如果您想要保护有限数量的子域名和二级域名,那么您可以选择多域名 SSL,它可以使用单个证书保护最多 100 个域名。
例如:
- 域名.com
- sub1.域名.com
- aaa.sub2.域名.com
- 域名2.net
- domain3.org
您应该了解您的实际需求来选择 SSL 证书。
答案4
我刚刚对此进行了一些研究,因为我也有同样的要求来保护子域名的安全,并且遇到了一个解决方案来自 DigiCert。
该证书表明它将支持yourdomain.com、*.yourdomain.com等等*.*.yourdomain.com。
目前价格相当昂贵,但希望其他提供商能够开始提供类似的证书并降低价格。