【问题标题】:wildcard SSL/TLS certificate for second-level domain rejected by browsers被浏览器拒绝的二级域的通配符 SSL/TLS 证书
【发布时间】:2019-07-23 04:47:15
【问题描述】:

我正在尝试为test*.test 创建证书。我正在使用minica 生成它,一切顺利(添加了替代名称):

X509v3 Subject Alternative Name:
                DNS:*.test, DNS:test

(并将 CA 证书添加到浏览器的受信任根证书颁发机构存储中) 但是证书被chrome和firefox都拒绝了。

【问题讨论】:

  • .test 不是有效的 dns 名称。去掉.test前面的句号
  • 假设您没有使用 Sha1 或 1024 长度模数的弱证书,我认为最新版本的浏览器也期望 IP 在主题替代名称中,因此您可以尝试将它们添加到您的证书中

标签: security dns ssl-certificate wildcard-subdomain


【解决方案1】:

虽然您可以为二级域甚至顶级域创建有效证书,但出于安全原因,浏览器不会尊重这些证书(即*.com 的证书将非常危险)。所以即使test是任何注册商都无法注册的保留域名,证书也会被拒绝。

当您尝试使用 mkcert 执行此操作时,您会收到非常好的警告:

Warning: many browsers don't support second-level wildcards like *.test ⚠️

改用 app.test + *.app.test

【讨论】:

  • 浏览器通常使用公共后缀列表,也用于 cookie 管理,以查看边界存在的位置以及不应允许使用通配符的位置。
猜你喜欢
  • 2014-12-17
  • 2015-02-14
  • 2019-06-30
  • 2016-09-16
  • 1970-01-01
  • 2021-01-03
  • 2014-07-30
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多