প্রশ্ন একটি ওয়াইল্ডকার্ড SSL শংসাপত্রটি রুট ডোমেন পাশাপাশি সাব ডোমেইন উভয় নিরাপদ করা উচিত?


আমি এই প্রশ্ন জিজ্ঞাসা করি, কারণ কমোডো আমাকে বলেছে যে * .example.com এর জন্য একটি ওয়াইল্ডকার্ড শংসাপত্রও রুট ডোমেইন example.com সুরক্ষিত করবে। সুতরাং একটি একক শংসাপত্রের সাথে, উভয় my.example.com এবং example.com ব্রাউজার থেকে সতর্কতা ছাড়াই সুরক্ষিত।

তবে, আমি প্রদান করা হয়েছে শংসাপত্রের ক্ষেত্রে এই নয়। আমার সাব ডোমেনগুলি সুরক্ষিত এবং কোনও ত্রুটি দেয় না, তবে রুট ডোমেনটি ব্রাউজারে একটি ত্রুটি ছুঁড়ে ফেলেছে, এটি সনাক্তকরণ যাচাই করা যাবে না।

যখন আমি এই একই শংসাপত্রের তুলনায় অন্যান্য অনুরূপ পরিস্থিতিতে তুলনা করি, আমি দেখি যে ত্রুটিগুলি ছাড়া কাজ করে এমন পরিস্থিতিতে, বিষয় বিকল্প নাম (SAN) * .example.com এবং example.com উভয়ই তালিকাভুক্ত করে, তবে কমোডোর সাম্প্রতিক শংসাপত্রের তালিকা শুধুমাত্র *। example.com হিসাবে সাধারণ নাম এবং example বিকল্প নাম হিসাবে example.com নয়।

কেউ সঠিকভাবে সুরক্ষিত থাকলেও সন বিশদগুলিতে রুট ডোমেইনটি তালিকাভুক্ত করা উচিত কিনা তা নিশ্চিত / ব্যাখ্যা করতে পারেন?

আমি এই পড়তে হলে: http://www.digicert.com/subject-alternative-name.htm মনে হচ্ছে সান অবশ্যই আমার কাজ করার জন্য উভয়ই তালিকাভুক্ত করতে হবে। আপনার অভিজ্ঞতা কি?

অনেক ধন্যবাদ.


71
2017-09-12 16:12


উত্স




উত্তর:


তারা ওয়াইল্ডকার্ডগুলির সাথে কীভাবে মিলবে তার উপর এসএসএল বাস্তবায়নের মধ্যে কিছু অসঙ্গতি রয়েছে, তবে অধিকাংশ ক্লায়েন্টদের সাথে কাজ করার জন্য আপনাকে একটি বিকল্প নাম হিসাবে রুটটির প্রয়োজন হবে।

একটি জন্য *.example.com যা নিশ্চিতভাবে ঘটবে,

  • a.example.com পাস করা উচিত
  • www.example.com পাস করা উচিত
  • example.com পাস করা উচিত নয়
  • a.b.example.com বাস্তবায়ন উপর নির্ভর করে পাস হতে পারে (কিন্তু সম্ভবত না)।

মূলত, মান বলে যে * 1 বা তার বেশি অ-ডট অক্ষর মিলতে হবে, তবে কিছু বাস্তবায়ন একটি বিন্দুকে মঞ্জুরি দেয়।

ক্যানোনিকাল উত্তর হতে হবে আরএফসি 2818 (টিএলএস ওভার HTTP):

ম্যাচিং দ্বারা নির্দিষ্ট মেলা নিয়ম ব্যবহার করে সঞ্চালিত হয়     [RFC2459]। প্রদত্ত প্রকারের একাধিক পরিচয় উপস্থিত থাকলে     শংসাপত্র (উদাঃ, একাধিক DNSName নাম, কোনও একটি মিল     সেটটি গ্রহণযোগ্য বলে মনে করা হয়।) নামগুলিতে ওয়াইল্ডকার্ড থাকতে পারে     অক্ষর * কোন একক ডোমেন নাম মেলে বলে মনে করা হয়     উপাদান বা উপাদান টুকরা। উদাঃ, *.a.com ম্যাচ foo.a.com কিন্তু     bar.foo.a.com নয়। f*.com ম্যাচ foo.com কিন্তু bar.com না।

RFC 2459 বলেছেন:

  • একটি "*" ওয়াইল্ডকার্ড অক্ষরটি বাম-সর্বাধিক নাম হিসাবে ব্যবহার করা যেতে পারে   সার্টিফিকেট উপাদান। উদাহরণ স্বরূপ, *.example.com would   a.example.com, foo.example.com, ইত্যাদির সাথে মেলে তবে মেলে না   example.com।

উদাহরণস্বরূপ, www.example.com এবং foo.example.com এর জন্য কাজ করার জন্য আপনার যদি কোন শংসাপত্রের প্রয়োজন হয় তবে আপনাকে subjectAltNames এর সাথে একটি শংসাপত্রের প্রয়োজন হবে যাতে আপনার "example.com" এবং "* .example.com" (অথবা উদাহরণ .com এবং অন্যান্য সমস্ত নামগুলির সাথে আপনার মিলতে হতে পারে)।


64
2017-09-12 16:33





আপনি সঠিক, এটি বৈধ করার জন্য রুট ডোমেনটি একটি বিকল্প নাম হতে হবে।


11
2017-09-12 16:34





যে SSL সার্ভারটি আমি কখনও ব্যবহার করেছি তা স্বয়ংক্রিয়ভাবে একটি ওয়াইল্ডকার্ড SSL শংসাপত্রে একটি বিষয় বিকল্প বিকল্প হিসাবে রুট ডোমেইন যুক্ত করবে, তাই DOMAIN.COM স্বয়ংক্রিয়ভাবে * * DOMAIN.COM ওয়াইল্ডকার্ড শংসাপত্রের জন্য কাজ করবে।


4
2018-04-22 22:34



এটি 2017-09-20 হিসাবে AWS সার্টিফিকেট পরিচালকের জন্য সত্য নয়। - pho3nixf1re
একটি SAN শংসাপত্রের জন্য "র" ডোমেন নেই যা একাধিক রুট ডোমেনগুলি সুরক্ষিত করতে পারে। - Jez


ওয়াইল্ডকার্ড সার্টিফিকেট আদর্শভাবে জন্য উত্পন্ন হয় * .example.com এই সার্টিফিকেটের সাথে আপনার সাব ডোমেইন এবং ডোমেনগুলি সুরক্ষিত করার জন্য, আপনাকে যা করতে হবে তা হল এই ডোমেনগুলিতে নির্দেশ করে সার্ভারগুলিতে একই শংসাপত্র ইনস্টল করা।

প্রাক্তন জন্য - * *example.com এর জন্য আপনার ওয়াইল্ডকার্ড শংসাপত্র রয়েছে one.example.com - সার্ভার 1 example.com - সার্ভার 2

আপনি সার্ভার 1 এবং সার্ভার 2 এ এই শংসাপত্রটি ইনস্টল করতে হবে।


-2
2018-04-14 08:17