[Web] 注意 Wildcard 憑證的適用保護範圍

[Web] 注意 Wildcard 憑證的適用保護範圍

今天連到公司某個專案的一個 https 網站,意外的看到了不合法的 SSL 憑證 (certificate),

Chrome 說憑證中的 Common Name 是無效的 (網址我偷改掉了,這邊只做舉例用):

Screen Shot 2016-08-24 at 10.54.59 AM

 

打開憑證來看看… 是發給 *.testdomain.com,

而網址是 www.url.testdomain.com,感覺上 * 是個萬用字元,

應該可以包含 www.url,所以應該沒有問題吧?

Screen Shot 2016-08-24 at 10.55.27 AM  

 

可惜並不是這麼一回事…

平常的憑證是會綁定一個網址如 www.google.com,

而像上面這種 *.testdomain.com 是一種 Wildcard certificate (參考 wikipedia: Wildcard certificate),

因此 a.testdomain.com, b.testdomain.com 都可以符合這憑證的保護範圍,

但多了一個點的 www.url.testdomain.com 是不行的,

憑證上得寫 www.url.testdomain.com,或是 *.url.testdomain.com 才行~

 

了解這一點之後,趕緊通知該專案的同事,

看是要重簽憑證,還是要修改 https 網站的 URL~

不過原來萬用字元 * 不是走到哪都無敵的,真是見一事長一智啊~~

 

參考資料:Choosing the SSL Certificate Common Name

 

(本頁面已被瀏覽過 664 次)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料