Quali sono le limitazioni del certificato jolly nell'estensione SAN?

4

Considera il seguente esempio:

Abbiamo creato il proprio certificato CA (autofirmato) e importato nel trust store del browser. Abbiamo firmato un certificato con questo certificato CA con estensione SAN con i seguenti domini:

  • DNS: * .dev
  • DNS: *. *. dev

Indipendentemente dal fatto che CN sia presente nel certificato o che manchi un DN completo. Stai ancora ricevendo errori nei browser quando accedi al dominio link :

Firefox 45.8.0:

test.dev uses an invalid security certificate. The certificate is only valid for the following names: *.dev, *.*.dev Error code: SSL_ERROR_BAD_CERT_DOMAIN

Chrome 58.0.3029.81 (64-bit):

NET::ERR_CERT_COMMON_NAME_INVALID

C'è un solo carattere jolly funzionante in SAN per il dominio di terzo livello, quando i browser accettano la connessione:

  • DNS: * .secondlevel.dev

Il jolly multilivello in SAN non è accettato dai browser:

  • DNS: *. *. secondlevel.dev

C'è un modo per avere un jolly multilivello nell'estensione SAN o quali sono le limitazioni per i caratteri jolly nelle estensioni SAN?

    
posta ZZromanZZ 28.04.2017 - 09:32
fonte

1 risposta

5

Da RFC 6125 :

The client SHOULD NOT attempt to match a presented identifier in which the wildcard character comprises a label other than the left-most label (e.g., do not match bar.*.example.net).

Pertanto, la wildcard è consentita solo nell'etichetta più a sinistra che la limita automaticamente a un massimo di un jolly.

Una restrizione simile può essere trovata anche nel CA / Forum del browser Requisiti di base 1.4.2 che combinati con altre definizioni nel documento restringono il carattere jolly solo all'etichetta più a sinistra:

Wildcard Certificate:
A Certificate containing an asterisk (*) in the left‐most position of any of the Subject Fully‐Qualified Domain Names contained in the Certificate.

A parte questo, i Requisiti di base del Forum CA / Browser hanno più restrizioni che determinano il fatto che *.dev non funziona poiché dev è in elenco suffisso pubblico :

CAs SHALL revoke any certificate where wildcard character occurs in the first label position immediately to the left of a “registry‐controlled” label or “public suffix”.

Per ulteriori informazioni, consultare la sezione "3.2.2.6 Convalida del dominio jolly" dei Requisiti di base.

    
risposta data 28.04.2017 - 09:39
fonte

Leggi altre domande sui tag