X.509 RFC を使用してきましたが、ドメイン名の一致規則に問題があります。
ドメイン名「www.foo.com」は、ssl 証明書の「foo.com」および「.foo.com」ドメイン名と一致する必要がありますか? ワイルドカードがないことに注意してください。
RFC 5280 のセクション 4.2.1.10 の名前制約のスニペットがあります。同じ制限が代替名拡張に適用されます。
「DNS 名の制限は、host.example.com として表されます。名前の左側に 0 個以上のラベルを追加するだけで構築できる DNS 名は、名前の制約を満たします。たとえば、www.host.example. com は制約を満たしますが、host1.example.com は満たしません。」
残念ながら、「www.foo.com」の証明書をお持ちの場合、証明書プロバイダー (または CA) によって指定されない限り、「foo.com」では自動的に機能しません。以前にこの同じ問題がありました。詳細を確認してください。「www と非 www の両方を保護する」として何かがリストされている必要があります。または、サポートに連絡して、どのように行うべきかを尋ねてください。
RFC 5280から引用したセクション(セクション 4.2.1.10)は、クライアントがサーバーに接続するときに何を検証する必要があるかという意味でのホスト名の一致に関するものではなく、名前の制約を使用する場合に CA が発行できるものに関するものです。拡大。
以前はプロトコル固有であり、HTTPSのRFC 2818 (セクション 3.1)で定義されていました。
RFC 6125はより最近のもので、アプリケーション プロトコル間でこれを調和させています。(必ずしも広く実装されているわけではありません。)
より具体的にwww.foo.comは、一致しないfoo.comか、次のようになり.foo.comます。
6.4.1. Checking of Traditional Domain Names If the DNS domain name portion of a reference identifier is a "traditional domain name", then matching of the reference identifier against the presented identifier is performed by comparing the set of domain name labels using a case-insensitive ASCII comparison, as clarified by [DNS-CASE] (e.g., "WWW.Example.Com" would be lower-cased to "www.example.com" for comparison purposes). Each label MUST match in order for the names to be considered to match, except as supplemented by the rule about checking of wildcard labels (Section 6.4.3).
www.foo.com一般に、証明書をおよびに対して有効にする場合はfoo.com、複数のサブジェクト代替名が必要になります ( でfoo.comカバーされていません*.foo.com)。