サブサブドメインのワイルドカードSSL

Question

* .domain.comのワイルドカードSSL証明書があり、sub1.sub2.domain.comのWebサイトがあります

macOsxのsafari 4.0.4は証明書エラーをポップアップします（おそらくワイルドカードの解釈が原因です）が、Windowsのsafari 4はポップアップしません。

また、IE8の動作はせいぜい混在しており、IE8の中には証明書エラーを表示しないものと表示しないものがあります。

SafariとIEでこの奇妙な動作を引き起こす原因は何ですか？

Elias Torres Arroyo · Answer

のワイルドカードSSL証明書 * .example.net 一致します sub.example.net だがしかし sub.sub.example.net。

RFC2459 で指定されたマッチングルールを使用して、マッチングが実行されます。証明書に特定のタイプの複数のIDが存在する場合（たとえば、複数のdNSName名、いずれかのセットでの一致は許容可能と見なされます。）名前には、考慮されるワイルドカード文字*が含まれる場合があります単一のドメイン名コンポーネントまたはコンポーネントフラグメントを一致させるため。たとえば、*.a.comはfoo.a.comと一致しますが、bar.foo.a.comとは一致しません。 f*.comはfoo.comと一致しますが、bar.comとは一致しません。

RobLL · Answer

* .domain.comサイトを含むワイルドカード証明書が必要で、sub1.sub2.domain.comまたは* .domain2.comのような別のドメインでも動作する場合、サブジェクトと呼ばれる単一のワイルドカード証明書でそれを解決できます。他のサブサブドメインそれぞれの別名（SAN）拡張子。 SAN証明書は、複数の特定のホスト名だけでなく、ワイルドカードエントリ用にも作成できます。

たとえば、*。domain.com、sub1.sub2.domain.com、および* .domain2.comの共通名は* .domain.comになり、*。domain2.comと* .sub2.domain.com。証明書をどのように請求する（または請求しない）かについては認証局に依存する場合がありますが、このオファリングが利用可能な場所がいくつかあります。また、SANは、Webブラウザーの分野で広くサポートされています。この使用の実世界での最良の例は、GoogleのSSL証明書です。 Googleを開いてSSL証明書を表示すると、*。google.com、*。youtube.com、*。gmail.comなどで機能し、サブジェクトの別名としてリストされている場所がさらに表示されます。

JAG · Answer

ワイルドカードは、ドメインの最初の部分（左から）にのみ適用されます。したがって、*。sub2.domain.comの証明書が必要です。

Sub1.domain.comとsub2.domain.comがあることを意味している場合は、動作するはずです。