我遇到了与Oracle Weblogic和SSL证书的兼容性问题，该证书在主题备用名称（SAN）扩展中使用通配符DNS名称。似乎所有现代浏览器都没有问题，但是例如根据Thawte和Oracle的说法，这是不允许的，并且Weblogic的通配符主机名验证程序非常失败-显然是设计使然：

http://docs.oracle.com/cd/E29542_01/apirefs.1111/e13941/weblogic/security/utils/SSLWLSWildcardHostnameVerifier.html

“从对等证书的SubjectAlternativeNames扩展名获得的DNSName不能通配”

其他CA似乎完全可以颁发此类证书。

在这种情况下，RFC 5280似乎无法实施：

“最后，本规范未解决包含通配符（例如，用作一组名称的占位符）的主题备用名称的语义。有特定要求的应用程序可以使用此类名称，但必须定义这些语义。”

除了明显的安全考虑之外，还有哪些适用规则？

聚苯乙烯
现在我真的很欣赏拥有标准...

带通配符的SAN对HTTPS完全有效。 RFC5280可能不适用于此内容，因为它省略了这些详细信息。最好看一下RFC6125和RFC2818。
但是，通配符当然有限制。您只能在最左边的标签中使用它们（没有*.*.com），并且它们仅匹配单个标签，即*.example.com匹配www.example.com而不是www.foo.example.com。