我遇到了与Oracle Weblogic和SSL证书的兼容性问题,该证书在主题备用名称(SAN)扩展中使用通配符DNS名称。似乎所有现代浏览器都没有问题,但是例如根据Thawte和Oracle的说法,这是不允许的,并且Weblogic的通配符主机名验证程序非常失败-显然是设计使然:
http://docs.oracle.com/cd/E29542_01/apirefs.1111/e13941/weblogic/security/utils/SSLWLSWildcardHostnameVerifier.html
“从对等证书的SubjectAlternativeNames扩展名获得的DNSName不能通配”
其他CA似乎完全可以颁发此类证书。
在这种情况下,RFC 5280似乎无法实施:
“最后,本规范未解决包含通配符(例如,用作一组名称的占位符)的主题备用名称的语义。有特定要求的应用程序可以使用此类名称,但必须定义这些语义。”
除了明显的安全考虑之外,还有哪些适用规则?
聚苯乙烯
现在我真的很欣赏拥有标准...
最佳答案
带通配符的SAN对HTTPS完全有效。 RFC5280可能不适用于此内容,因为它省略了这些详细信息。最好看一下RFC6125和RFC2818。
但是,通配符当然有限制。您只能在最左边的标签中使用它们(没有*.*.com
),并且它们仅匹配单个标签,即*.example.com
匹配www.example.com
而不是www.foo.example.com
。