Neomezené zabezpečení s wildcard certifikáty

23. 8. 2013 | Jindřich Zechmeister

Hvězdičkové certifikáty jsou výjimečným typem digitálních certifikátů, které umí zabezpečit doslova neomezený počet domén. Certifikát je v prohlížeči důvěryhodný pro všechny subdomény na místě hvezdičky (*). I hvězdičkové certifikáty však mají pravidla, které je dobré znát.

wildcard certifikát má v common name hvězdičku

Hvězdičkové wildcard certifikáty a jejich použití

Wildcard certifikáty se nazývají hvězdičkové kvůli použitému symbolu *, který zastupuje název subdomény v certifikátu. V běžném SSL certifikátu je nutné domény nižšího řadu specifikovat, ať už jako hlavní doménu v Common name, nebo jako SAN název (DNS jméno).

Ve hvězdičkovém certifikátu nemusíte specifikovat subdomény, pro které má být platný. Bude platit pro všechny názvy na místě hvězdičky. Funguje to podobně, jako hvězdička v DNS záznamech.

Certifikát šetří čas a peníze; nemusíte pro každou subdoménu kupovat certifikát a řešit její zabezpečení. Lze ho využít například pro automaticky tvořené subdomény, které se využívají u webhostingu, nebo jím můžete zabezpečit rozsáhlejší webové stránky, které jsou rozčleněny na subdomény.

Neomezeně, ale podle pravidel

Hvězdičkový SSL certifikát si můžete nechat vystavit pro konkrétní doménu nižšího řádu, nemusí to být vždy jen doména 3. řádu (něco.doména.cz). Typicky slouží pro domény 3. řádu, například webmail.nazev-domeny.cz.

Není možné kombinovat dvě hvězdičky vedle sebe, tedy vystavit certifikát pro *.*.nazev-domeny.cz. Takový certifikát by odporoval pravidlům, podle kterých se SSL certifikáty vystavují. Samozřejmě též není možné vystavit hvězdičkový SSL certifikát pro doménu prvního řádu, protože to by znamenalo důvěryhodnost například pro všechny české domény.

Hvězdičku (wildcard) není možné použít u SAN názvů (DNS jmen) v certifikátech, které SANy podporují. Certifikáty se SAN musí obsahovat pouze přesně specifikované názvy domén (tzv. FQDN).

Wildcard certifikát může být DV a OV

Hvězdičkové certifikáty existují ve dvou úrovních ověření - doménový a s ověřením organizace. Wildcard certifikát s DV ověřením je RapidSSL Wildcard. Kombinuje výhody okamžitého vystavení a důvěryhodnosti pro neomezený počet subdomén.

Certifikáty s OV ověřením organizace jsou v nabídce SSLmarketu dva. Jedná se o certifikát Thawte Web Server Wildcard a GeoTrust True BusinessID Wildcard.

Hvězdičkové Wildcard certifikáty se nevystavují s EV variantě s rozšířeným ověřením. Důvodem je "nekontrolovaný" počet domén, které může hvězdičkový certifikát zabezpečit. Tento princip odpovídá důkladnému rozšířenému ověření a při použití v EV certifikátu by snižoval jeho důvěryhodnost.

Pro Exchange je vhodnější certifikát se SAN

Provozujete-li server Microsoft Exchange, musíte zabezpečit více subdomén a názvů, které server Exchange používá. Častou otázkou je podpora Wildcard certifikátů na Exchange serveru a fungování takové konfigurace.

Obecně je taková kombinace možná, můžete však narazit na problémy. Podle oficiálních informací nemůže být Wildcard certifikát použit pro Office Communications Server 2007. Použití hvězdičkového certifikátu neumožňují ani starší mobilní zařízení, například se systémem Windows Mobile 5.0. 

Použití Wildcard certifikátu na Exchange nedoporučují autority ani z pohledu bezpečnosti. V případě kompromitace certifikátu jsou postiženy všechny subdomény hlavní domény. V důsledku kompromitace je nutné certifikát revokovat (zneplatnit); potom je ale nutné u všech subdomén upravit konfiguraci s novým SSL certifikátem.

Server Microsoft Exchange využívá i interní názvy a interní domény, například exch1 nebo .local. Taková jména je možné přidat pouze jako SAN (DNS názvy) do SAN certifikátů, jiné certifikáty pro takové názvy nebudou důvěryhodné. Jako certifikát pro Exchange je lepší využít certifikáty se SAN.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz