security - サブドメインのないサイトでワイルドカード証明書が許可されるのはなぜですか?

Question

*.company.com のワイルドカード証明書は、company.com では有効ではありません。しかし、familysearch.orgはワイルドカード証明書 *.familysearch.org を使用しています。

Chrome、Firefox、IE、wget、curl のいずれもそれについて文句を言いません。なんで？興味深いことに、cfhttpは文句を言います。誰が正しいですか？

カールスニペット:

* Server certificate:
*        subject: C=US; postalCode=84150; ST=Utah; L=Salt Lake City; street=50 East North Temple Street; O=Intellectual Reserve Inc.; OU=PremiumSSL Wildcard; CN=*.familysearch.org
*        start date: 201
*        expire date: 201
*        subjectAltName: familysearch.org matched
*        issuer: C=G
*        SSL certificate verify ok.

Chrome のスクリーンショット:

ここに画像の説明を入力

cfhttp エラー:

Charset [empty string] 
ErrorDetail I/O Exception: Name in certificate `*.familysearch.org' does not match host name `familysearch.org' 
Filecontent Connection Failure 
Header  [empty string] 
Mimetype    Unable to determine MIME type of file. 
Responseheader  struct [empty]

Statuscode  Connection Failure. Status code unavailable. 
Text    YES

score 6 · Accepted Answer

問題の証明書のサブジェクト代替名(SAN) はfamilysearch.orgです。したがって、証明書はとの両方 *.familysearch.orgで有効ですfamilysearch.org。

参考までに、curl は実際に次の行でこれを知らせています。

subjectAltName: familysearch.org が一致しました

security - サブドメインのないサイトでワイルドカード証明書が許可されるのはなぜですか?

1 に答える 1

Related

Reference