萬用字元憑證
在電腦網路中,萬用字元憑證是一個可以被多個子域使用的公鑰憑證。原則上萬用字元憑證是為了服務使用超文字傳輸安全協定(SSL)的網站,但也有用於其他領域的例子。與一般的憑證相比,萬用字元憑證提供了更高的CP值以及更多的便利。[1]
例子
編輯頒發給 *.example.com, 的憑證可以用於下列域名[2]
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
由於萬用字元憑證只能覆蓋一級子域(*不匹配所有子域),該憑證無法有效服務於下面的域名:
- test.login.example.com
當裸域名被列入可選DNS名稱,該憑證也可被用於裸域名(又稱根域) [3]
- example.com
大多數數位憑證認證機構都會在簽發萬用字元憑證時自動包括裸域。
限制
編輯萬用字元憑證不可能為擴充驗證憑證。[5]一種替代方法是在可用DNS名稱(SAN)中包含每個域名[6][7][8], 這種方法的弊端是當有新的網站需要使用憑證時就需要重新頒發一個憑證。[9]
萬用字元可以被用在多個域名的憑證或者統一通訊憑證(UCC)中。[10]萬用字元憑證也有可選DNS名稱欄位。例如 *.wikipedia.org 這個萬用字元憑證包括了 *.m.wikimedia.org 這個可選DNS名稱。因此,它即可服務於 www.wikipedia.org,也可服務於 meta.m.wikimedia.org。[11]
另見
編輯參考資料
編輯- ^ Hendric, William. Wildcard SSL Certificate Explained. SSL Certificate Provider. 17 January 2008 [17 February 2015]. (原始內容存檔於2022-03-16).
- ^ Hendric, William. Wildcard SSL Certificate Features. Comodo SSL. SSL Certificate Provider. 17 June 2008 [17 February 2015]. (原始內容存檔於2015-06-23).
- ^ RFC 2595 - Using TLS with IMAP, POP3 and ACAP. Internet Engineering Task Force: 3. June 1999 [2014-12-15]. (原始內容存檔於2017-07-07).
For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.
- ^ Wildcard SSL certificate limitation on QuovadisGlobal.com. [2016-03-09]. (原始內容存檔於2016-04-09).
- ^ Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15]. (原始內容 (PDF)存檔於2021-03-08).
Wildcard certificates are not allowed for EV Certificates.
- ^ x509v3_config-Subject Alternative Name 網際網路檔案館的存檔,存檔日期2015-08-15.
- ^ The subjectAltName field
- ^ The SAN option is available for EV SSL Certificates on Symantec.com. [2016-03-09]. (原始內容存檔於2013-05-24).
- ^ Need to be reissued whenever a new virtual server is added
- ^ Wildcard domains can be used within UCC on SSL.com. [2016-03-09]. (原始內容存檔於2015-06-03).
- ^ SSLTools Certificate Lookup of Wikipedia.org's wildcard ssl certificate. [2016-03-09]. (原始內容存檔於2016-06-13).