使通配证书对全球所有站点有效?
这是我的错误:
CACERTIFICATE.crt在我的浏览器中被导入为可信。 SERVERCERTICIATE.crt和SERVERPRIVATEKEY.key用于扫描SSLstream量病毒的代理服务器。
问题是,我在IE浏览器必须取消选中:“工具 – Internet选项 – 高级 – 警告如果证书中的地址不匹配*”
因为它不会抱怨证书。 (在图片eicarcert.PNG我有设置未选中,你看到证书是可信的)。
在Firefox(最新),我必须点击“添加安全例外”为每个SSL站点即时访问。 即使证书是可信的,每个即时访问的SSL站点都必须“添加安全例外”,这是非常令人烦恼的。 Firefox推出了一个更新,以防止SSL处理阻止* 。 在域中。 即使拥有像*.*.*这样的证书也不会让浏览器信任它。
是否有办法在全球范围内创build适用于所有域名的证书?
不幸的是,从来没有一个好的RFC来说明通配符如何匹配,所以不同的实现(主要是SChannel和NSS)略有不同。 但是,这个草案标准将会把这个问题搞定:
http://tools.ietf.org/html/draft-saintandre-tls-server-id-check-09#section-4.4.3
微软就是这样做的:
support.microsoft.com/kb/258858
基本上,通配符可以作为最左边的标签出现,并且它恰好匹配一个标签。 所以* .example.com匹配www.example.com,但不匹配example.com(因为这意味着匹配零标签)。
'*'仅匹配'com','org'等。'*。*'无效。
所以你不能做你想做的事情。 SSL MITM盒必须在客户端机器上安装一个根CA,然后为它们想拦截的域即时生成证书(通过caching)。
MITM也碰巧是一个可怕的想法,给世界其他地方带来巨大的代价,不断地破坏事物。 不要指望Chrome与他们合作。
您需要多个域证书而不是通配符证书。