Vlákno názorů k článku Let's Encrypt nabídne wildcard certifikáty platné pro všechny subdomény od ET - ale zároveň na všechny možné subdomény (zkrátka *.priklad.cz)...
-
ET (neregistrovaný)
ale zároveň na všechny možné subdomény (zkrátka *.priklad.cz)je to slovickareni, ale wildcard plati vzdy jen pro primo podrizene subdomeny - takze pro
*.*.priklad.czuz cert fungovat nebude (napr. https://www.ssl.com/faqs/can-i-create-a-subdomain-domain-com-wildcard-how-about-subdomain-com/), jestli to davaji do SAN atributu certu a jestli to bude LE podporovat netusim... -
Filip JirsákStříbrný podporovatelTo právě není tak docela pravda, některé programy to mají implementované tak, že hvězdičkový certifikát platí pro jakoukoli subdoménu – takže
*.example.comakceptují i proone.two.example.com. -
Filip JirsákStříbrný podporovatel
Za prvé to nijak nesouvisí s tím, že některé implementace ověřování certifikátů chápou hvězdičku tak, že pokrývá i tečku. Kdyby měl někdo certifikát pro
*.co.uknebo*.com, byl by to pěkný průšvih i jen pro tu jednu úroveň doménových jmen.
Za druhé, prohlížeče používají Public Suffix List nebo nějakou jeho obdobu, takže takové certifikáty by ani neakceptovaly. -
Filip JirsákStříbrný podporovatel
Ono to tak dříve bylo podle standardů. Dříve se tak choval Firefox (kvůli zpětné kompatibilitě), tam už to bylo před pár lety opraveno. Chovalo se tak i cUrl, současný stav nevím.
-
Sten (neregistrovaný)
Kterých standardů? Firefox se tak kdysi choval, ale to byla chyba a bylo to jako chyba vyřešeno. IE ani KHTML (WebKit) se tak nikdy nechoval. SSL ani X.509 wildcardy nikdy nedovolovalo a HTTP over TLS od počátku zakazovalo matchovat víc než jeden label. Takže který standard to umožňoval?
-
Filip JirsákStříbrný podporovatel
Nebyla to chyba, bylo to záměrné chování kvůli zpětné kompatibilitě. Že to bylo podle standardů jsem napsal špatně – před RFC 2818 žádný standard hvězdičku v certifikátu nedefinoval, takže záleželo na každém, jak si to implementoval.
ČLÁNKY DO MAILU