înregistrare Logare
Puncte:10
Emoji avatar Server

Funcționează certificatele SSL care conțin două wildcard (în special pe Let's Encrypt)?

drapel vn
Emoji

Doresc să includ două caractere metalice într-un certificat SSL (va fi) semnat de Let's Encrypt: *.*.thost3.de. Se potrivește acest certificat cu orice nume de gazdă care se potrivesc cu regula respectivă (de ex. exemplu.exemplu.thost3.de, salut.world.thost3.de), și poate Let's Encrypt să accepte existența unor astfel de caractere joker în certificatele pe care le-au semnat?

700
0 + 0
Puncte:10
A.B avatar Server
drapel cl
A.B

Nu, acest lucru NU TREBUIE (în sensul RFC de „NU TREBUIE”) să funcționeze, așa cum documentate în RFC 6125 (Reprezentarea și verificarea serviciului de aplicații bazate pe domenii Identitate în cadrul infrastructurii cu cheie publică de internet folosind X.509 (PKIX) Certificate în contextul securității stratului de transport (TLS)):

Dacă un client potrivește identificatorul de referință cu un prezentat
identificatorul a cărui porțiune de nume de domeniu DNS conține caracterul metalic
caracterul „*”, se aplică următoarele reguli:

  1. Clientul NU TREBUIE să încerce să se potrivească cu un identificator prezentat în care caracterul wildcard cuprinde o altă etichetă decât eticheta cea mai din stânga (de exemplu, nu se potrivește cu bara.*.example.net).

  2. Dacă caracterul wildcard este singurul caracter al etichetei din stânga din identificatorul prezentat, clientul NU TREBUIE să compare față de orice altceva decât eticheta cea mai din stânga a identificatorului de referință (de exemplu, *.example.com se potrivește cu foo.example.com, dar nu bar.foo.example.com sau example.com).

[...]

Punând aceste două împreună:

  • nu puteți avea un wildcard în altă parte decât partea din stânga (separată printr-un punct) a certificatului: un wildcard interior este invalid.
  • nu puteți avea ca un certificat wildcard să se potrivească cu o parte suplimentară de etichetă (adică: separată de un punct) în stânga sa: din nou, asta înseamnă că, dacă a fost folosit un singur wildcard valid, nimic cu o parte din stânga suplimentară nu se poate potrivi (deci hello.world. thost3.de nu se poate potrivi cu certificatul *.thost3.de).

Ceea ce puteți face este să emiteți un certificat cu o mulțime de părți SAN, eventual ele însele cu un wildcard (valid). Dar nu sunt deloc sigur că puteți obține acest lucru acceptat de Let's Encrypt.

EDITAȚI | ×: *.stackexchange.com este semnat de Let's Encrypt cu mai multe SAN-uri având un wildcard.

Exemplu:

$ openssl s_client -connect stackexchange.com:443 </dev/null 2>/dev/null| openssl x509 -noout -text | grep -A1 „X509v3 Nume alternativ al subiectului” | tr ',' '\n'
            X509v3 Nume alternativ al subiectului: 
                DNS:*.askubuntu.com
 DNS:*.blogoverflow.com
 DNS:*.mathoverflow.net
 DNS:*.meta.stackexchange.com
 DNS:*.meta.stackoverflow.com
 DNS:*.serverfault.com
 DNS:*.sstatic.net
 DNS:*.stackexchange.com
 DNS:*.stackoverflow.com
 DNS:*.stackoverflow.email
 DNS:*.superuser.com
 DNS:askubuntu.com
 [...]
0 + 0
drapel cn
Tobias Mädel
„este emite un certificat cu o mulțime de părți SAN”, da, ai putea emite asta (într-un certificat autosemnat de exemplu), dar niciun browser (cel puțin din câte știu eu) nu acceptă asta. Deci astea sunt absolut inutile :)
0
Răspunde
drapel cn
Tobias Mädel
Nu, ceea ce am vrut să spun a fost: certificate duble (sau mai multe) wildcard, deci *.*.serverfault.com nu ar fi acceptat de browsere, chiar dacă ai reuși să semnezi un astfel de certificat.
0
Răspunde
A.B avatar
drapel cl
A.B
@TobiasMädel ah da, sunt de acord cu asta.
0
Răspunde
drapel ro
Tim
Există o justificare documentată pentru ce acesta este un „nu ar trebui” spre deosebire de un „nu trebuie”?
0
Răspunde
drapel sa
user253751
Și de ce acesta este un „nu ar trebui” spre deosebire de un „trebuie”?
0
Răspunde
U. Windl avatar
drapel it
U. Windl
Ideea este dacă o RA (Autoritate de înregistrare) ar accepta de fapt un astfel de CSR (Certificate Signing Requests) atunci când subiectul nu este permis. Este o discuție destul de inutilă ce ar face un astfel de certificat dacă nu obțineți unul. Vedeți definiția **Nume de domeniu Wildcard** în https://letsencrypt.org/documents/isrg-cp-v3.3/
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.