En la práctica, ¿el software criptográfico acepta un * .com o incluso un *. ¿certificado?

4

Suponiendo que esto se hará con su propia PKI, y no con una CA pública de confianza.

Teniendo en cuenta que *.sub.domain.com es válido, y también lo es *.domain.com , ¿es técnicamente posible emitir *.com e incluso un certificado *. ?

El certificado que estoy investigando es un "*." el certificado se utiliza para cualquier otro nombre de dominio como "https://google.com" y luego realiza ataques MITM.

¿Algún marco de validación de certificados admitirá un certificado *. ? ¿Se rechazará de plano o se aplicarán las reglas de validación normales?

    
pregunta random65537 13.06.2012 - 23:22
fuente

2 respuestas

4

De RFC-2818 - HTTP sobre TLS :

  

La coincidencia se realiza utilizando las reglas de coincidencia especificadas por      [RFC2459]. Si hay más de una identidad de un tipo dado presente en      el certificado (por ejemplo, más de un nombre de dNSName, una coincidencia en cualquiera      del conjunto se considera aceptable.) Los nombres pueden contener el comodín      carácter * que se considera que coincide con cualquier nombre de dominio único      Componente o fragmento de componente. Por ejemplo, * .a.com coincide con foo.a.com pero      No es bar.foo.a.com. f * .com coincide con foo.com pero no con bar.com.

Entonces creo que sería posible hacer algo como tener un certificado que coincida con una gran variedad de URLS: *.com , www.*.com y ssl.*.com . Es posible que desee probar certificados de doble comodín (por ejemplo, coincidencia *.*.com ), pero la mayoría de los navegadores no (y no deberían) los aceptan.

Tampoco me sorprendería lo más mínimo si los navegadores modernos rechazaran los comodines en el siguiente nivel desde el dominio de nivel superior (por ejemplo, *.com ).

    
respondido por el dr jimbob 14.06.2012 - 01:41
fuente
2

Es técnicamente posible hacer un certificado que contenga un nombre "* .com" pero, según RFC 2818 (sección 3.1), un comodín coincide con un componente de dominio, no con varios (es decir, sería válido para "example.com" pero no para "www.example.com"). Sin embargo, existe una diferencia entre la especificación y lo que los implementadores hacen de ella. Hay informes que los navegadores algunos aceptan para hacer coincidir un comodín con el dominio varios componentes (es decir, "* .example.com" haciendo coincidir "sub.www.example.com").

Además, la mayoría de los navegadores web modernos incluyen fallos de fallos, que rechazan certificados de comodín demasiado amplios. Consulte esta pregunta : "* .com" e incluso "* .co.uk" serán rechazados por los navegadores, incluso si RFC 2818 no hubiera visto ningún problema con eso.

    
respondido por el Thomas Pornin 04.01.2013 - 19:56
fuente