SSL Certificate warning - Privacy en beveiliging

maandag 21 april 2014 15:08

Acties:

Topicstarter

Ik heb een SSL certificate aangemaakt met volgende gegevens:
subject name:
www.domain.com
subject alternative names:
DNS Name=www.domain.com
DNS Name=domain.com
DNS Name=*.domain.com

De bedoeling was om dit certificate voor een aantal subdomeinen te kunnen gegbruiken.
Als ik nu echter naar die server op https://subd1.domain.com connecteer dan krijg ik klachten dat het server certificate niet matched met de url.
Hoort die *.domain.com in het SAN veld niet voldoende te zijn?

Hoe krijg ik dit opgelost? Moet ik die wildcard als subject name gebruiken dan ofzo?

[ Voor 11% gewijzigd door witchdoc op 21-04-2014 15:10 ]

maandag 21 april 2014 15:11

Acties:

Fish

How much is the fish

Heb je dan wel een wildcard certifcate ?

wat en wildcard en www in 1 certifikaat is wel een beetje raar. * impliceert dat www ook geldig is namelijk ..

Iperf

maandag 21 april 2014 15:14

Acties:

mydogisgone

Watskeburtwithmydog

Volgens mij heeft dat certificaat alleen *.domain.com nodig als het een wildcard certificaat is en kan deze voor alle subdomains gebruikt worden.

Hoe heb je deze aangemaakt dan?

Mijn hond is nog steeds echt weg! En die komt ook niet weer. :O

maandag 21 april 2014 16:06

Acties:

witchdoc

Topicstarter

mydogisgone schreef op maandag 21 april 2014 @ 15:14:
Volgens mij heeft dat certificaat alleen *.domain.com nodig als het een wildcard certificaat is en kan deze voor alle subdomains gebruikt worden.

Hoe heb je deze aangemaakt dan?

klopt, maar het idee was dat 90% de juiste www. te zien kreeg terwijl de overige 10% (andere subdomeinen) ook gewoon geldig zouden zijn door de SAN.

Dat het niet standaard is hoeft niet te betekenen dat het niet kan/mag, dus mag ik die wildcard niet in een SAN verstoppen is de vraag dan.

Aanmaken.. subject opgegeven daarna SANs opgegeven, klaar.

[ Voor 18% gewijzigd door witchdoc op 21-04-2014 16:08 ]

maandag 21 april 2014 16:08

Acties:

mydogisgone

Watskeburtwithmydog

witchdoc schreef op maandag 21 april 2014 @ 16:06:
[...]

klopt, masar het idee was dat 90% de juiste www. te zien kreeg terwijl de overige 10% (andere subdomeinen) ook gewoon geldig zouden zijn door de SAN.

Je bedoelt dat binnen het certificaat www. er voor staat? Ik zou hem gewoon opnieuw aanmaken als een wildcard. Maakt toch niet zoveel uit dat ze *.domain.com te zien krijgen binnen dit certificaat?

Mijn hond is nog steeds echt weg! En die komt ook niet weer. :O

dinsdag 22 april 2014 10:17

Acties:

Jester-NL

... pakt een botte bijl

Met bovenstaande...
Je maakt nu een certificaat aan met én een aantal SAN-namen én een wildcard. Ik ken geen CA dat zulke certificaten uitgeeft. Ze zullen je allemaal vertellen om óf voor een SAN-certificaat te gaan, óf een wildcard te nemen.

Sowieso is het een self-signed certificaat. Mijns inziens is het dan nauwelijks een issue of een gebruiker ziet dat een certificaat voor www.domain.com of *.domain.com is uitgegeven.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

dinsdag 22 april 2014 20:50

Acties:

witchdoc

Topicstarter

Jester-NL schreef op dinsdag 22 april 2014 @ 10:17:
Met bovenstaande...
Je maakt nu een certificaat aan met én een aantal SAN-namen én een wildcard. Ik ken geen CA dat zulke certificaten uitgeeft. Ze zullen je allemaal vertellen om óf voor een SAN-certificaat te gaan, óf een wildcard te nemen.

Sowieso is het een self-signed certificaat. Mijns inziens is het dan nauwelijks een issue of een gebruiker ziet dat een certificaat voor www.domain.com of *.domain.com is uitgegeven.

Het is géén self-signed certificaat.
Als ik een pure wildcard *.domain.com neem, kan ik dan morgen nog een standaard SSL certificaat voor subdx.domain.com registreren of is dan het ganse domain 'geblokkeerd' omdat er al een certificaat voor is uitgegeven?

dinsdag 22 april 2014 22:32

Acties:

Fish

How much is the fish

Dat hoef je dan niet meer te registreren. het is een wildcard domein.

wel opletten dat je bijv. in iis dat dan ook de naam geeft *.hshdakhas.com anders sta je te kloten omdat hij dan niet snapt dat het een wildcard is (kan nog steed via command line maar de gui verneukt je dan)

Iperf

dinsdag 22 april 2014 22:42

Acties:

OnTracK

Over het algemeen zorg je dat de wildcard in de gewone "Subject" staat. Want relatief^* veel clients ondersteunen geen wildcards die in je SAN staat. Wel neem je hem dan nogmaals op in je SAN, voor clients die alleen daarnaar kijken. En dan nog een keer je root domain in je SAN. Dus:

Subject: *.example.com
Subject Alternative Name: *.example.com
Subject Alternative Name: example.com

Dan kun je nog een keer www.example.com in je Subject Alternative opnemen, maar dat is op zich vreemd om te doen.

^*: Valt tegenwoordig wel mee, maar goede basis om mee te beginnen.

[ Voor 9% gewijzigd door OnTracK op 22-04-2014 22:47 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

woensdag 23 april 2014 00:30

Acties:

witchdoc

Topicstarter

Fish: het idee was dus de wildcard voor minder belangrijke onderdelen te gebruiken waarbij als ik die ooit revoke ik niet mijn sub1.domain.com mee moet revoken. En net andersom.

Mijn CA staat geen andere subdomeinen toe nadat ik een wildcard voor het domain heb. Dit was dus mijn oplossing.

Maar in mijn geval snapt dus Chrome (de browser) niet dat het wildcard gedeelte als SAN is ingegeven? Weird. Firefox en IE lijken inderdaaad geen errors op te geven voor dezelfde website. Vervelend

woensdag 23 april 2014 00:38

Acties:

Will_M

Intentionally Left Blank

Kent de machine op je back-end dat *.xxxx.xxxx Certificate wel? Certificate Chain moet een 2-way trust zijn.

Boldly going forward, 'cause we can't find reverse