¿Cuáles son las limitaciones de los certificados comodín en la extensión SAN?

4

Considere el siguiente ejemplo:

Creamos nuestro propio certificado de CA (autofirmado) e importamos al almacén de confianza del navegador. Firmamos el certificado por este certificado CA con extensión SAN con los siguientes dominios:

  • DNS: * .dev
  • DNS: *. *. dev

No importa si CN está presente en el certificado o incluso falta el DN completo. Sigue recibiendo los siguientes errores en los navegadores al acceder al dominio enlace :

Firefox 45.8.0:

test.dev uses an invalid security certificate. The certificate is only valid for the following names: *.dev, *.*.dev Error code: SSL_ERROR_BAD_CERT_DOMAIN

Chrome 58.0.3029.81 (64 bits):

NET::ERR_CERT_COMMON_NAME_INVALID

Solo hay un comodín en funcionamiento en SAN para el dominio de tercer nivel, cuando los navegadores aceptan la conexión:

  • DNS: * .secondlevel.dev

Los navegadores no aceptan el comodín multinivel en SAN:

  • DNS: *. *. secondlevel.dev

¿Hay alguna forma de tener comodines de varios niveles en la extensión SAN o cuáles son las limitaciones para los comodines en las extensiones SAN?

    
pregunta ZZromanZZ 28.04.2017 - 09:32
fuente

1 respuesta

5

De RFC 6125 :

  

El cliente NO DEBE intentar hacer coincidir un identificador presentado en          que el carácter comodín comprende una etiqueta distinta de la          etiqueta más a la izquierda (por ejemplo, no coincide con la barra. *. example.net).

Por lo tanto, el comodín solo se permite en la etiqueta de la izquierda, que lo restringe automáticamente a un nivel máximo de comodín.

También se puede encontrar una restricción similar en CA / Browser Forum Requisitos de línea de base 1.4.2 que combinados con otras definiciones en el documento restringen el carácter comodín solo a la etiqueta que está más a la izquierda:

  

Certificado de comodín:
Un certificado que contiene un asterisco (*) en la posición más a la izquierda de cualquiera de los sujetos   Nombres de dominio totalmente calificados contenidos en el certificado.

Además de eso, los requisitos básicos de CA / Browser Forum tienen más restricciones que hacen que *.dev no funcione ya que dev está en lista de sufijos públicos :

  

Las CA deben revocar cualquier certificado en el que aparezca un carácter comodín en la primera posición de la etiqueta inmediatamente a la izquierda de una etiqueta "controlada por el registro" o "pública   sufijo ".

Para obtener más información, consulte la sección "3.2.2.6 Validación de dominio comodín" de los Requisitos de referencia.

    
respondido por el Steffen Ullrich 28.04.2017 - 09:39
fuente

Lea otras preguntas en las etiquetas