我遇到了与 Oracle Weblogic 和在主题备用名称 (SAN) 扩展中使用通配符 DNS 名称的 SSL 证书的兼容性问题。似乎现代浏览器都没有这方面的问题,但根据 Thawte 和 Oracle 的说法,例如,这是不允许的,Weblogic 的通配符主机名验证器惨遭失败 - 显然是设计使然:
“从对等证书的 SubjectAlternativeNames 扩展中获得的 DNSNames 不能被通配”
其他 CA 似乎完全可以颁发此类证书。
RFC 5280 似乎将这种情况下的实现悬而未决:
“最后,本规范未解决包含通配符(例如,作为一组名称的占位符)的主题替代名称的语义。具有特定要求的应用程序可以使用此类名称,但它们必须定义语义”
撇开明显的安全考虑,是否有适用的规则?
附言 现在我真的很感激拥有标准...
最佳答案
带通配符的 SAN 对 HTTPS 完全有效。 RFC5280 可能不是这些东西的正确 RFC,因为它遗漏了这些细节。最好看看 RFC6125 和 RFC2818。
但是通配符当然有限制。您只能在最左边的标签中使用它们(没有 *.*.com
)并且它们只匹配一个标签,即 *.example.com
匹配 www.example.com
但不是 www.foo.example.com
。
关于SSL 证书 - 是否允许 SAN 扩展中的通配符?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26107496/