几个月前,我们从 GoDaddy 购买了 2 个 SSL UCC 证书,用于 myandy.com 和 myandy.com.au,并且我定义了以下主题备用名称:
- 网关
- 服务
- X ...
它们都获得了批准并且已经投入生产几个月了。
几周前,我收到一封来自 GoDaddy 的电子邮件,上面写着“如果您不采取措施从证书中删除新的 gtld 域名,您的证书将被撤销。”由于该电子邮件没有提到证书的哪一部分是错误的,而且总体看起来像是垃圾邮件,所以我忽略了它。
两周后,myandy.com 的 SSL 证书被撤销了,因此我向 GoDaddy 询问证书到底出了什么问题,最后 GoDaddy 澄清了这一点:
问题出在 SAN [服务] 上。
您的证书包含一个仅用于服务的通用名称。这是在互联网号码分配机构 (IANA) 列出的有效顶级域名 (gTLD),可供外部使用。所有有效域名都必须由域名持有者进行身份验证,然后才能颁发。
要获取 IANA 管理的顶级域名的完整数据库,请访问以下链接。
http://www.iana.org/domains/root/db/
由于这是 gTLD,并且无法在 .SERVICES 注册中心注册空白域名,因此需要删除 SAN 和/或将其替换为未在 IANA 或完全合格域名中列出的其他本地名称,以避免撤销。
然而,整个事情对我来说看起来很奇怪。
我在 services.myandy.com 上运行了一些服务。后来,IANA 发布了一些新的顶级域名,如以下记录所示http://www.iana.org/domains/root/db,所以我不能再使用服务作为我的子域名了?
如果真是这样,那么,除非在证书颁发前,tv.channel7.com 得到 channel7.tv 持有者的认证,否则 tv.channel7.com 将无法使用;或者即使证书已经颁发,也会因为新发布的顶级域名而被撤销?
如果我正在使用 X.myandy.com,然后 IANA 发布了一个新的 gTLD,那么我将无法使用 X.myandy.com?
尽管 Godaddy 已向 myandy.com 提出了 SAN 与 gTLD 问题,但他们并未针对 myandy.com.au 采取同样的措施,后者的 SAN 也被称为 Services。他们是否随机挑选 myandy.com?(myandy.com 和 myandy.com.au 均在 cheapdomains.com.au 注册)。
答案1
这是因为 SANgateway并不services完全合格。
在这种情况下services,它实际上是一个有效的 gTLD已经。gateway如果 ICANN 决定,其他类似规定可能在某个时候生效。
解决方案是完全限定您的域名。例如,gateway使用而不是gateway.myandy.com。
有关的.local:出于上述同样的原因,使用“无效”顶级域名 (TLD) 的传统也是不好的做法。